Conformité

RGPD pour une société de taxi : obligations concrètes en 2026

· 9 min de lecture · Par l'équipe OPR-Planning

Le RGPD s'applique à toute entreprise qui traite des données personnelles, y compris l'artisan taxi seul et la petite société de trois chauffeurs. Le texte est volumineux, mais les obligations concrètes d'une TPE tiennent sur une page. Cet article les présente sans jargon, en s'appuyant sur les recommandations de la CNIL pour les TPE/PME. L'objectif : savoir exactement ce qu'il faut mettre en place, et ce qu'on peut légitimement ne pas faire.

Est-ce qu'une société de taxi est concernée par le RGPD ?

Oui, dès qu'il y a un nom, un numéro de téléphone, une adresse ou un identifiant relié à une personne physique. Le Règlement Général sur la Protection des Données s'applique à toutes les entreprises qui traitent ce genre d'information, sans seuil de taille. La CNIL le rappelle très clairement dans son guide destiné aux TPE/PME : « la taille de l'entreprise n'est pas un critère d'exonération ».

Pour une société de taxi, cela concerne notamment :

  • Les coordonnées des clients qui appellent pour réserver une course.
  • Les informations consignées dans le planning (qui va où, quand, avec quel chauffeur).
  • Les données des chauffeurs eux-mêmes (salariés, indépendants ou chauffeurs remplacçants).
  • Les cartes de fidélité ou fichiers clients utilisés pour relancer une clientèle régulière.

La bonne nouvelle : le RGPD est proportionné au risque. Une petite structure qui ne fait aucun profilage, aucune publicité ciblée et aucune vente de données a des obligations beaucoup plus simples qu'une grande plateforme.

Les données habituellement traitées

Avant toute autre démarche, il est utile de lister, sur une feuille, toutes les données personnelles que vous manipulez. Dans une société de taxi classique, on retrouve généralement :

  • Données client : nom, prénom, numéro de téléphone, adresse de prise en charge, destination, éventuellement email pour envoyer une facture.
  • Données planning : historique des courses effectuées (quand, qui, d'où, vers où), notes opérationnelles laissées par le dispatcher.
  • Données chauffeurs : nom, statut, carte professionnelle, horaires, éventuellement coordonnées privées si utilisées pour la coordination.
  • Données conventionnées : dans le cas d'un transport pour l'Assurance Maladie, le numéro de sécurité sociale du patient et d'éventuelles informations médicales (motif de la course). Ces données sont sensibles au sens de l'article 9 du RGPD et demandent une vigilance particulière.

Cette liste est votre point de départ. Sans elle, difficile de savoir qui informer, combien de temps conserver, ou où ces données se trouvent réellement (dans un cahier, un tableur, un logiciel, un téléphone personnel ?).

Le registre des traitements : obligatoire, mais simplifié pour les TPE

L'article 30 du RGPD impose de tenir un registre des activités de traitement. C'est un document interne qui recense ce que vous faites des données, pourquoi et combien de temps.

Pour une entreprise de moins de 250 salariés, le registre est simplifié. Il ne concerne que les traitements qui ne sont pas occasionnels (c'est-à-dire votre activité courante : gestion des courses, fichier client, paye des chauffeurs).

La CNIL met à disposition un modèle de registre simplifié, au format tableur, téléchargeable gratuitement sur cnil.fr/fr/registre. Le remplir prend en général entre une et trois heures pour une TPE taxi : vous listez chaque traitement (ex. « gestion du planning des courses »), sa finalité, les catégories de données concernées, les destinataires et la durée de conservation.

Ce document n'est pas à transmettre spontanément à la CNIL. Il doit en revanche être disponible en cas de contrôle, et mis à jour quand une activité évolue (nouveau canal de réservation, nouveau sous-traitant, etc.).

Informer les personnes dont on traite les données

C'est l'obligation la plus visible pour le grand public, et probablement celle qui amène le plus de plaintes chez les TPE : les articles 13 et 14 du RGPD imposent d'informer la personne dont les données sont collectées, au moment de la collecte, de :

  • L'identité du responsable de traitement (votre société).
  • La finalité de la collecte (ex. organiser la course, émettre une facture).
  • La base légale (exécution du contrat, obligation légale, consentement…).
  • La durée de conservation.
  • Ses droits (accès, rectification, suppression, opposition).
  • Le moyen de vous contacter pour les exercer.

En pratique, deux formats couvrent l'essentiel :

  1. Une mention au moment de la réservation téléphonique ou écrite : une phrase simple suffit, du type « Nous enregistrons votre nom et votre numéro pour gérer la course. Vous disposez de droits sur ces données : plus d'informations au [contact] ».
  2. Une page « Politique de confidentialité » détaillée, publiée sur votre site s'il en existe un, ou fournie sur demande.

Ce n'est pas un texte à recommencer à chaque course : une fois écrit, il couvre la plupart des situations. Le modèle publié par la CNIL (« Comment informer les personnes concernées ? ») est une base utile à adapter.

Combien de temps garder les données

Le RGPD impose une durée de conservation limitée au nécessaire. Concrètement, cela se traduit par des durées différentes selon les catégories :

  • Coordonnées clients ponctuels (course unique) : une conservation active limitée, avec un archivage intermédiaire pour la durée des obligations comptables.
  • Clients récurrents (fichier fidélité) : la CNIL tolère environ trois ans après le dernier contact, puis purge ou demande de reconfirmation.
  • Factures et documents comptables : conservation obligatoire de 10 ans (article L123-22 du Code de commerce). Cette obligation légale prime sur la règle de minimisation.
  • Historique des courses (planning archivé) : généralement aligné sur la durée comptable (10 ans) quand il sert de preuve à une facture. Au-delà, il doit être supprimé sauf justification.
  • Données sensibles (transports conventionnés) : durées réglementées par l'Assurance Maladie, à vérifier avec votre caisse.

Le point clé n'est pas de respecter une durée exacte à la journée près, mais de pouvoir justifier un choix raisonnable et de l'appliquer réellement. Avoir trois ans de fichiers clients dans un tiroir « au cas où » n'est plus acceptable ; avoir une règle écrite qui dit « après trois ans sans activité, on supprime » et s'y tenir l'est.

Les outils que vous utilisez sont eux-mêmes concernés

C'est un point souvent sous-estimé. Quand vous utilisez un outil numérique pour stocker ou manipuler des données clients, cet outil devient votre sous-traitant au sens du RGPD (article 28). Vous restez responsable de la conformité, mais l'hébergeur ou l'éditeur doit vous fournir des garanties.

Les cas les plus fréquents chez un artisan taxi :

  • Messageries grand public (WhatsApp, Messenger, iMessage) : pratiques au quotidien, mais elles ne sont pas pensées pour un usage professionnel avec des données clients. Si vous faites transiter une adresse de prise en charge par une conversation WhatsApp, cette adresse passe par les serveurs d'un prestataire américain, sans accord formel de traitement avec vous. À éviter pour les données clients ; à réserver aux échanges informels de l'équipe.
  • Tableurs partagés hébergés hors UE (Google Sheets standard, Microsoft 365 sur région non-UE) : légitimes si l'abonnement prévoit un hébergement européen et des clauses contractuelles types. À vérifier dans les conditions de votre offre.
  • Logiciels métier : l'éditeur doit pouvoir fournir un accord de sous-traitance (DPA) et indiquer la localisation des données. L'absence de ces documents est un signal négatif.

La CNIL a publié un guide spécifique sur les transferts de données hors UE. Si vos outils sont tous européens (ou suisse, qui bénéficie d'une décision d'adéquation), la situation est considérablement simplifiée.

Pour approfondir le choix d'un outil centralisé plutôt que plusieurs canaux dispersés, notre article sur les quatre méthodes de transmission du planning compare les canaux possibles sous l'angle opérationnel (le raisonnement RGPD renforce les conclusions qu'on y fait côté fiabilité).

Mesures de sécurité minimales

L'article 32 du RGPD demande des mesures « appropriées au risque ». Pour une TPE taxi, le niveau attendu n'est pas celui d'une banque ; il reste cependant structurant :

  • Mots de passe forts et individuels  pour chaque compte utilisateur (pas de compte partagé où tout le monde connaît le même mot de passe).
  • Verrouillage automatique des postes de travail et des téléphones utilisés pour la gestion.
  • Sauvegardes régulières de vos données client et planning, testées au moins une fois par an.
  • Mises à jour des ordinateurs, systèmes d'exploitation et logiciels. Un poste qui n'est plus maintenu est une faille de sécurité au sens RGPD.
  • Limitation des accès : un chauffeur n'a pas besoin de voir le fichier comptable ; un associé consulte mais n'édite pas forcément les factures.
  • Pas de données clients sur des supports personnels (clé USB perdue, téléphone personnel revendu, etc.).

En cas de violation de données (perte d'un téléphone avec des contacts clients, piratage d'un compte email, fuite d'un tableur), l'article 33 impose une notification à la CNIL dans les 72 heures si le risque pour les personnes est significatif. La CNIL a un formulaire de notification dédié en ligne.

En cas de plainte d'un client ou de contrôle CNIL

Deux situations concrètes peuvent survenir, et aucune ne doit vous paniquer si vous avez documenté votre démarche :

Un client demande à exercer ses droits

Un ancien client vous écrit « je veux que vous supprimiez mes données », « je veux savoir ce que vous avez sur moi », ou « je m'oppose à tout contact futur ». Vous avez un mois pour répondre, gratuitement. Si la demande est manifestement abusive (un même client qui envoie 20 demandes le même jour), vous pouvez refuser en le motivant.

Dans la plupart des cas, la réponse se résume à : confirmer ce qui est stocké, supprimer si possible, bloquer la relance commerciale si refusée, et garder une trace de votre réponse pour le jour où la CNIL viendrait vérifier.

Une plainte est déposée à la CNIL

La CNIL reçoit chaque année plusieurs milliers de plaintes. La plupart se résolvent par un simple échange : la CNIL demande des explications, vous répondez, le dossier est classé. Les sanctions sont très rares pour les TPE et presque toujours réservées aux cas de manquement répété ou de mauvaise foi (spam persistant, refus manifeste de respecter un droit, absence totale de mesures de sécurité).

Ce qui préserve, dans l'ordre :

  1. Avoir un registre des traitements, même sommaire.
  2. Avoir une mention d'information aux clients, même courte.
  3. Avoir une politique de durée de conservation écrite et appliquée.
  4. Avoir des outils qui ne transfèrent pas systématiquement les données hors UE.
  5. Avoir documenté les mesures de sécurité en place.

Rien d'extraordinaire : ce sont les cinq points que la CNIL regarde en premier chez une TPE.

Checklist récapitulative

Obligation Mini-action à mener Temps
Lister les données traitées Écrire une liste sur une feuille ou un tableur 1 heure
Remplir le registre simplifié Télécharger le modèle CNIL et le compléter 1 à 3 heures
Rédiger une mention d'information Adapter le modèle CNIL à votre société 1 heure
Fixer des durées de conservation Décider et écrire les règles dans le registre 30 min
Vérifier les outils utilisés Lister les logiciels, vérifier la localisation des données et l'existence d'un DPA 1 à 2 heures
Mettre en place la sécurité minimale Mots de passe individuels, sauvegardes, MAJ systèmes continu
Prévoir la réaction en cas d'incident Noter quelque part le formulaire CNIL de notification 15 min

Conclusion

La conformité RGPD d'une TPE taxi n'est pas un projet de plusieurs mois. Une journée bien utilisée suffit à couvrir l'essentiel : une liste des données, un registre simplifié basé sur le modèle CNIL, une mention d'information, des durées de conservation écrites, une vérification rapide des outils et quelques mesures de sécurité bien ancrées. Le but n'est pas d'être parfait, c'est d'être documenté et honnête. Un patron de taxi qui montre à un contrôleur une feuille de registre remplie à la main récemment sera toujours mieux positionné qu'un autre qui promet oralement que « tout est en ordre ».

Les ressources TPE/PME publiées par la CNIL sont gratuites, claires et suffisent pour la majorité des situations. Elles sont votre première référence avant tout service payant.