Retour à l'accueil
Tous les articles
Conformite

RGPD et logistique : ce que tout transporteur doit savoir en 2026

20/05/2026 L'équipe dropfleet 7 min de lecture

Pourquoi la logistique est particulièrement exposée au RGPD

Un transporteur ou une entreprise de messagerie collecte, à chaque livraison, un volume impressionnant de données personnelles : nom et adresse du destinataire, numéro de téléphone, signature électronique, photo de preuve, position GPS du chauffeur, horodatage précis. Ces données sont au coeur de l'activité — et toutes sont soumises au Règlement Général sur la Protection des Données (RGPD, Règlement UE 2016/679).

En 2026, la CNIL et ses homologues européens ont durci leur politique de contrôle sur les TPE/PME de la logistique. Voici les points de vigilance essentiels.

Les données personnelles en jeu dans la logistique

Données destinataires

  • Nom, prénom, adresse de livraison
  • Numéro de téléphone (notifications SMS)
  • Email (avis de passage, suivi de colis)
  • Signature électronique (preuve de livraison)
  • Photo de dépôt (donnée sensible si le visage du destinataire y figure)

Données chauffeurs (salariés ou prestataires)

  • Position GPS en temps réel et historique de trajet
  • Horaires de début/fin de tournée
  • Performance (nombre de livraisons, temps moyen par stop)

Les 5 obligations concrètes pour les transporteurs

1. Base légale et information des destinataires

La collecte des données destinataires repose sur l'exécution du contrat (livraison commandée). Vous devez néanmoins informer le destinataire de la collecte via une mention sur le bon de livraison ou un lien vers votre politique de confidentialité.

2. Durée de conservation

Les données de livraison ne doivent pas être conservées indéfiniment. La pratique raisonnable et conforme CNIL est :

  • Données de commande et signatures : 3 ans (délai de prescription commercial)
  • Photos de preuve : 6 mois maximum recommandés
  • Logs GPS chauffeurs : 3 mois (au-delà, risque de surveillance abusive)

3. Droits d'accès et d'effacement

Tout destinataire peut demander l'accès à ses données ou leur suppression. Vous avez 30 jours pour répondre. Votre système informatique doit permettre cette suppression — ce qui implique de ne pas avoir des données éparpillées dans des fichiers Excel, Dropbox, et un logiciel de tournées sans lien entre eux.

4. Géolocalisation des chauffeurs

La CNIL a publié des lignes directrices strictes sur ce point. La géolocalisation des salariés est autorisée pour optimiser les tournées, mais vous devez :

  • Informer les chauffeurs (avenant au contrat de travail ou note interne)
  • Désactiver le tracking hors heures de travail
  • Ne pas utiliser les données GPS pour évaluer les performances individuelles sans accord explicite

5. Sous-traitants et hébergement

Si votre plateforme logistique est hébergée hors UE (AWS us-east-1, serveurs en dehors de l'EEE), vous avez un problème de conformité. Vérifiez que votre fournisseur SaaS héberge les données en Europe et signe un DPA (Data Processing Agreement) avec vous.

dropfleet et la conformité RGPD

dropfleet est hébergé en Europe, propose des outils d'export et de suppression de données intégrés, et signe un DPA avec chaque client. La politique de rétention est configurable par tenant. Les chauffeurs peuvent consulter et effacer leur historique GPS depuis leur app.

A retenir
  • Photos de preuve : 6 mois max, pas indéfiniment
  • GPS chauffeurs : informer par écrit, désactiver hors travail
  • Droits d'effacement : 30 jours pour répondre
  • Hébergement EU obligatoire pour la conformité RGPD
  • DPA signé avec chaque sous-traitant technologique

Vous voulez une plateforme logistique conforme RGPD dès le départ ? Découvrez dropfleet — hébergement EU, export RGPD inclus, DPA sur demande.

Prêt à transformer votre logistique ?

dropfleet — plateforme SaaS logistique multi-tenant, prête en 5 minutes. Aucun contrat, aucune complexité.

Essai gratuit 14 jours

Sans carte bancaire · Annulation à tout moment