Rapports terrain et données personnelles : ce que dit le RGPD
Dès qu'un rapport terrain contient des données personnelles — nom d'un défunt, identité d'un assuré, coordonnées d'un client, visage sur une photo — le RGPD s'applique. Concrètement, le professionnel qui collecte ces données en est généralement responsable de traitement, et le logiciel qui les traite pour son compte est sous-traitant. Cette distinction commande la plupart des obligations.
Comprendre son rôle est la première étape : la CNIL rappelle que la qualification dépend des faits — qui décide quoi, qui exécute quoi — et non d'un choix contractuel. Cet article fait le tour des obligations, des réflexes à avoir avant de choisir un outil, et des points sensibles (hébergement, conservation, secret professionnel, sanctions).
Responsable de traitement ou sous-traitant ?
| Rôle | Définition | Exemple (rapport terrain) |
|---|---|---|
| Responsable de traitement | Détermine finalités (pourquoi) et moyens (comment) | L'office, le cabinet, l'entreprise, le service |
| Sous-traitant | Traite les données pour le compte du responsable, sur instructions | L'éditeur du logiciel |
| Responsables conjoints | Définissent ensemble la répartition des obligations | Selon les cas |
Le responsable doit s'assurer, avant de confier des données, que le sous-traitant présente des garanties suffisantes, et encadrer la relation par un contrat écrit précis, comme l'indique la CNIL dans sa page « Travailler avec un sous-traitant ». Ce contrat doit préciser l'objet, la durée, la nature et la finalité du traitement, ainsi que les obligations de sécurité et de confidentialité.
Les 6 réflexes avant de choisir un outil
La CNIL détaille des bonnes pratiques pour responsables et sous-traitants. Avant d'adopter un logiciel de rapport, vérifiez :
- Les garanties de sécurité : chiffrement, contrôle des accès, journalisation.
- Le contrat de sous-traitance : il doit exister et préciser l'objet, la durée et les obligations.
- L'hébergement : localisation des données, transferts hors UE éventuels.
- La durée de conservation : les données ne doivent pas être gardées indéfiniment.
- La gestion des droits : accès, rectification, effacement des personnes concernées.
- La traçabilité : registre des traitements et capacité à démontrer la conformité.
Checklist express. Contrat signé ✓ · Hébergement UE ✓ · Chiffrement ✓ · Durées définies ✓ · Procédure droits ✓ · Registre tenu ✓.
Les grands principes appliqués au rapport terrain
Le RGPD repose sur quelques principes qui se traduisent très concrètement dans un rapport :
| Principe | Application au rapport terrain |
|---|---|
| Licéité | Une base légale au traitement (mission, contrat, obligation) |
| Finalité | Données collectées pour produire le rapport, pas au-delà |
| Minimisation | Ne capter que ce qui est utile (éviter les photos superflues) |
| Exactitude | Données justes, corrigées si besoin |
| Limitation de conservation | Durées définies, archivage ou suppression |
| Intégrité et confidentialité | Sécurité, chiffrement, accès restreints |
La minimisation est le principe le plus opérationnel sur le terrain : chaque photo, chaque donnée doit servir le rapport. Photographier « au cas où » des éléments sans lien avec la mission contrevient à ce principe.
L'analyse d'impact (AIPD) : quand est-elle nécessaire ?
Lorsqu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes — par exemple un traitement à grande échelle de données sensibles — une analyse d'impact relative à la protection des données (AIPD) peut être requise. Pour un professionnel isolé produisant des rapports, elle n'est pas systématique, mais la question se pose dès que le volume ou la sensibilité des données augmente (structure traitant de nombreux dossiers de santé ou patrimoniaux). En cas de doute, la CNIL fournit des outils d'aide à la décision.
Droits des personnes concernées
Les personnes dont les données figurent dans un rapport disposent de droits que le responsable doit savoir honorer :
- Accès : savoir quelles données sont traitées.
- Rectification : faire corriger une donnée inexacte.
- Effacement : sous conditions (le secret professionnel ou une obligation légale peut s'y opposer).
- Opposition / limitation : dans certains cas.
L'outil utilisé doit permettre de retrouver et, le cas échéant, de rectifier ou supprimer les données d'une personne — ce qui suppose une organisation des données, pas un stockage en vrac.
Que faire en cas de violation de données ?
Une fuite, une perte ou un accès non autorisé constitue une violation de données. Le responsable de traitement doit, en principe, la notifier à la CNIL dans les 72 heures lorsqu'elle présente un risque pour les personnes, et informer les personnes concernées si le risque est élevé. D'où l'importance, en amont, de choisir un outil sécurisé et de savoir qui contacter chez l'éditeur en cas d'incident.
RGPD et IA : un point d'attention
L'usage de l'IA (reconnaissance d'objets, transcription) sur des données personnelles ne change pas les principes, mais ajoute des questions : où les données sont-elles traitées pour l'inférence ? Sont-elles réutilisées pour entraîner des modèles ? Un sous-traitant sérieux doit pouvoir répondre clairement, et s'engager à ne pas réutiliser les données confiées au-delà de la prestation. Sur les apports et limites de l'IA visuelle, voir Photo + IA sur le terrain.
Hébergement, chiffrement, conservation
Le RGPD n'impose pas l'hébergement en France, mais encadre fortement les transferts hors Union européenne. Un hébergement en France ou dans l'UE simplifie la conformité et la démonstration de confidentialité.
Le chiffrement (au repos et en transit) protège les données en cas d'incident. Enfin, chaque catégorie de données doit avoir une durée de conservation définie, alignée sur la finalité et les obligations légales du métier.
| Donnée | Durée alignée sur… |
|---|---|
| Données d'un acte / rapport | Obligations de conservation du métier |
| Photos de terrain | Finalité du rapport, puis archivage ou suppression |
| Coordonnées prospects | Durée de la relation + délai légal |
Secret professionnel et données sensibles
Certaines professions — notaires, commissaires de justice — sont soumises au secret professionnel, qui s'ajoute au RGPD. Les rapports peuvent aussi contenir des données sensibles (santé, situation patrimoniale, parfois données relatives à des mineurs). Pour ces cas, le niveau d'exigence est renforcé : minimisation stricte, accès limité, et choix d'un outil aligné sur ces contraintes.
Les professionnels concernés trouveront le détail de leur usage sur les pages dédiées : notaires, huissiers, experts en assurance, ou via la vue d'ensemble des métiers.
Les sanctions : un risque réel
Le RGPD n'est pas qu'une formalité. Les manquements peuvent être sanctionnés par la CNIL jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Mais le risque principal, pour une profession de confiance, est réputationnel : une fuite de données ou un usage non maîtrisé entame durablement la relation avec les clients.
Le bon réflexe. Traiter la conformité RGPD comme un critère de choix d'outil, au même titre que les fonctionnalités. Un logiciel qui ne sait pas répondre clairement sur l'hébergement, le chiffrement et le contrat de sous-traitance doit être écarté.
Construire une politique de conservation
La limitation de conservation est souvent le point le plus négligé. Une politique simple suffit, à condition d'être explicite :
- Lister les catégories de données traitées (rapports, photos, coordonnées).
- Associer à chacune une durée, alignée sur les obligations du métier.
- Distinguer base active, archivage intermédiaire et suppression.
- Documenter ces durées dans le registre des traitements.
Le tableau des durées vu plus haut sert de point de départ ; il doit être adapté aux délais légaux propres à chaque profession.
Un mémo conformité par profil
Selon le métier, les points de vigilance se déplacent :
| Profil | Sensibilité principale |
|---|---|
| Notaire, commissaire de justice | Secret professionnel, données patrimoniales |
| Expert en assurance | Données du sinistré, parfois de santé |
| Préventionniste | Données moins sensibles, mais sécurité des sites |
| Chef de chantier, architecte | Données surtout techniques, quelques personnelles |
| Commercial | Coordonnées et photos de domiciles privés |
Dans tous les cas, la règle d'or reste la même : ne collecter que le nécessaire, le sécuriser, et le conserver le temps utile.
Le lien avec la dictée et la photo
Dicter un rapport et photographier une scène, c'est collecter des données personnelles. Les bénéfices de productivité décrits dans dicter ses rapports terrain et photo + IA sur le terrain ne dispensent jamais des obligations RGPD : la conformité accompagne la productivité, elle ne s'y oppose pas.
En résumé
Dès qu'un rapport contient des données personnelles, le professionnel est en principe responsable de traitement et doit choisir un sous-traitant offrant des garanties suffisantes, encadré par un contrat écrit. Hébergement clair, chiffrement, durées de conservation, gestion des droits et protection des données sensibles sont les points à vérifier en priorité — sous peine de sanctions pouvant atteindre 20 M€ ou 4 % du chiffre d'affaires mondial.
Sources utilisées :
- CNIL — Responsable du traitement, sous-traitants : bien identifier son rôle
- CNIL — Travailler avec un sous-traitant
- CNIL — 6 bonnes pratiques responsable / sous-traitant
Pour aller plus loin : Dicter ses rapports terrain · Photo + IA sur le terrain