RGPD et sécurité privée : les obligations à connaître pour votre entreprise

Les principales obligations RGPD pour les entreprises de sécurité privée : données agents, données clients, sous-traitance et bonnes pratiques de conformité.

Les entreprises de sécurité privée traitent quotidiennement des données personnelles : informations sur les agents (identité, carte professionnelle, heures travaillées), informations sur les sites clients (adresses, contacts, consignes) et parfois des données sensibles liées aux incidents. Le RGPD s'applique pleinement à cette activité.

Pourquoi le RGPD concerne directement les sociétés de gardiennage

Le Règlement Général sur la Protection des Données s'applique à toute organisation qui traite des données personnelles de résidents européens. Une entreprise de sécurité privée traite des données d'agents (salariés) et des données liées aux sites de ses clients.

Ne pas se conformer au RGPD expose l'entreprise à des sanctions administratives (amendes) et à une perte de confiance des clients, qui eux-mêmes ont des obligations de conformité vis-à-vis de leurs sous-traitants.

Les données agents : ce que vous pouvez collecter

Vous pouvez collecter les données nécessaires à la gestion de la relation de travail : identité, coordonnées, numéro de carte professionnelle CNAPS, données contractuelles (contrat, avenant, bulletins de paie), données de pointage (heures, géolocalisation si justifiée).

Principe de minimisation : ne collectez que les données strictement nécessaires à la gestion de l'activité. Si une donnée n'a pas de finalité identifiable, ne la collectez pas.

Durée de conservation : les données ne doivent pas être conservées au-delà de la durée nécessaire à la finalité pour laquelle elles ont été collectées. Les bulletins de paie et les données contractuelles ont des durées légales de conservation. Les données de pointage brutes peuvent être purgées après export vers la paie.

Les données de pointage et la géolocalisation

Le pointage horodaté et géolocalisé soulève des questions spécifiques. La CNIL considère que la géolocalisation d'un salarié est un traitement soumis à des conditions strictes.

La géolocalisation au moment du pointage (capturer la position GPS à l'instant du scan QR) est généralement justifiable pour prouver la présence sur site. En revanche, la surveillance GPS continue de l'agent pendant toute sa vacation est plus difficile à justifier et nécessite une analyse au cas par cas.

Informez les agents du traitement de leurs données de géolocalisation. Documentez la finalité (preuve de présence sur site) et la base légale (intérêt légitime ou exécution du contrat de travail).

Les données liées aux sites clients

Les consignes de site, les contacts des responsables client et les rapports d'incident contiennent des données personnelles. Traitez ces données avec la même rigueur que les données agents.

Lorsque vous utilisez un logiciel de gestion en mode SaaS, l'éditeur est sous-traitant au sens du RGPD. Un contrat de sous-traitance (article 28 du RGPD) doit encadrer le traitement des données.

Le registre des traitements

Toute entreprise qui traite des données personnelles de manière régulière doit tenir un registre des traitements. Ce registre documente chaque traitement : finalité, catégories de données, destinataires, durée de conservation, mesures de sécurité.

Pour une société de gardiennage, les traitements courants sont : gestion des agents (RH), gestion du planning, pointage, main courante, facturation, prospection commerciale.

L'information des personnes concernées

Les agents doivent être informés du traitement de leurs données personnelles. Cette information peut être intégrée au contrat de travail ou fournie dans un document séparé (notice d'information).

L'information doit mentionner : les données collectées, les finalités, la base légale, les destinataires, la durée de conservation et les droits de la personne (accès, rectification, effacement, portabilité).

La sécurité des données

Les données doivent être protégées par des mesures techniques et organisationnelles appropriées : chiffrement, contrôle d'accès, sauvegardes, mises à jour de sécurité.

Vérifiez que votre logiciel de gestion chiffre les données au repos et en transit. Limitez l'accès aux données aux seules personnes qui en ont besoin dans le cadre de leurs fonctions.

En cas de violation de données

Si une violation de données survient (accès non autorisé, perte de données, fuite), l'entreprise doit notifier la CNIL dans un délai de 72 heures si la violation présente un risque pour les droits et libertés des personnes concernées. Les personnes concernées doivent également être informées si le risque est élevé.

Documentez une procédure de gestion des violations de données avant qu'une violation ne survienne. Identifier les actions à mener dans l'urgence est plus efficace que de réagir dans la panique. Cette logique de procédure rejoint celle de la gestion des incidents en sécurité privée, qui structure la réponse à tout type d'événement.

La conformité RGPD n'est pas un obstacle, c'est un cadre de bonne gestion. Une entreprise qui protège les données de ses agents et de ses clients renforce sa crédibilité professionnelle.

Pour un logiciel de gestion hébergé en Europe et conforme aux exigences RGPD, créez votre compte SecuriGest gratuitement — 30 jours d'essai, sans engagement. Retrouvez nos autres articles sur le blog.

Dans le même thème

Gestion des incidents en sécurité privée : quelle procédure mettre en place ?

Comment structurer la gestion des incidents dans une entreprise de sécurité privée : détection, signalement, escalade, résolution et retour d'expérience.

Réduire les erreurs de paie dans une société de gardiennage : guide pratique

Les erreurs de paie coûtent cher aux sociétés de gardiennage. Voici les causes principales et les méthodes concrètes pour les éliminer.

Voir tous les articles Main courante & IncidentsExplorer les thèmes← Retour au blog