RGPD pour les auto-écoles : la checklist complète 2026

Une auto-école manipule chaque jour des données personnelles sensibles : pièce d’identité, justificatifs de domicile, parfois certificats médicaux. Le RGPD vous impose des obligations précises. Voici la checklist concrète pour être en règle.

Êtes-vous concerné par le RGPD ?

Oui, à 100 %. Le RGPD s’applique à toute organisation qui traite des données personnelles de résidents de l’Union Européenne, quelle que soit sa taille. Une auto-école avec un seul gérant et 50 élèves est concernée au même titre qu’un grand réseau.

Les données personnelles que vous traitez

Une fiche élève typique contient des données personnelles à divers niveaux de sensibilité :

Données usuelles : nom, prénom, date de naissance, adresse, email, téléphone

Données réglementaires : NEPH, numéro de permis le cas échéant

Pièces justificatives : copie de la pièce d’identité, justificatif de domicile, parfois certificat médical (cas du permis adapté)

Données financières : moyens de paiement, RIB pour prélèvement

Données pédagogiques : compte-rendus de leçon, évaluations REMC, présences

La checklist en 10 points

1. Tenir un registre des traitements

Obligatoire dès le premier salarié ou plus de 250 élèves. En pratique, recommandé pour toute auto-école. Le registre liste :

La finalité de chaque traitement (gestion des inscriptions, suivi pédagogique, facturation, etc.)
Les catégories de données collectées
La durée de conservation
Les destinataires éventuels (assureur, comptable, organismes officiels)
Les mesures de sécurité appliquées

Modèle gratuit sur le site de la CNIL.

2. Définir les durées de conservation

Élève en formation : tant que la formation est en cours
Élève dont le forfait est terminé : 5 ans après la dernière interaction (durée de validité du Code obtenu, prolongable à 10 ans pour les obligations comptables liées à la facturation)
Pièces d’identité : suppression dès que la démarche ANTS est validée
Données de paiement : ne stockez jamais les numéros de carte bancaire en clair

3. Sécuriser l’accès aux données

Identifiants individuels par moniteur et par gérant (pas de compte partagé)
Mot de passe robuste (minimum 12 caractères, mélange de types)
Verrouillage automatique des sessions inactives
Chiffrement des données en base et en transit (HTTPS partout)

Drivea respecte ces contraintes nativement : compte par utilisateur, mot de passe haché bcrypt, JWT à durée courte, HTTPS only, hébergement France.

4. Limiter l’accès aux données

Un moniteur n’a pas besoin d’accéder aux données financières de l’auto-école. Un élève ne doit voir que ses propres données. Drivea applique cette règle automatiquement par rôle (gérant, moniteur, élève).

5. Permettre l’exercice des droits des élèves

Tout élève peut demander :

Accès à ses données (vous devez fournir un export)
Rectification d’une donnée erronée
Effacement (“droit à l’oubli”) si les données ne sont plus nécessaires
Portabilité (export dans un format réutilisable)
Opposition à certains traitements (marketing par exemple)

Vous avez 1 mois pour répondre. Drivea inclut un export et une suppression intégrés à l’app, ce qui facilite la conformité.

6. Publier une politique de confidentialité

Document accessible depuis votre site web (et idéalement votre app) qui décrit :

Qui collecte les données (votre auto-école, raison sociale complète)
Quelles données sont collectées et pourquoi
Combien de temps elles sont conservées
Avec qui elles sont partagées
Comment exercer ses droits

Modèle inspiration : drivea.fr/confidentialite.

7. Recueillir un consentement clair

Pour les traitements non strictement nécessaires (marketing, newsletter, partage avec partenaires), demandez un consentement explicite à l’inscription, par case à cocher non pré-cochée. Le consentement doit pouvoir être retiré à tout moment.

8. Vérifier vos sous-traitants

Vos sous-traitants (logiciel de gestion, comptable, hébergeur, prestataire SMS) traitent des données pour vous. Vous devez :

Signer un contrat de sous-traitance RGPD avec chacun
Vérifier qu’ils sont conformes (hébergement UE, mesures de sécurité)
Tenir la liste à jour

Drivea fournit son DPA (Data Processing Agreement) sur demande à [email protected].

9. Notifier les violations de données

En cas de fuite, perte ou accès non autorisé, vous devez :

Notifier la CNIL sous 72 heures via le portail CNIL
Si risque élevé pour les personnes : notifier les élèves concernés

10. Désigner un DPO (optionnel pour la majorité des auto-écoles)

Le Délégué à la Protection des Données est obligatoire uniquement pour :

Les administrations
Les organismes traitant à grande échelle des données sensibles
Les organismes traitant à grande échelle des données de localisation

Une auto-école standard n’est pas tenue d’en avoir, mais peut désigner un référent RGPD interne pour piloter la conformité.

Erreurs fréquentes à éviter

Stocker les pièces d’identité indéfiniment “au cas où”
Envoyer des emails marketing à toute la base sans consentement
Photocopier la carte d’identité de l’élève et la garder en classeur papier non fermé à clé
Utiliser un compte Gmail personnel pour gérer les emails élèves
Sauvegarder la base élèves sur une clé USB sans chiffrement

Sanctions en cas de non-conformité

La CNIL peut prononcer des sanctions allant de l’avertissement à des amendes administratives jusqu’à 4 % du chiffre d’affaires annuel mondial. Pour une PME, le risque concret est plutôt l’amende de quelques milliers d’euros et la mauvaise publicité.

Ce que Drivea fait pour vous

Hébergement France (souveraineté des données UE)
Authentification individuelle par compte
Chiffrement bcrypt des mots de passe
HTTPS only sur web et mobile
Suppression de compte intégrée à l’app
Export des données par élève
DPA disponible
Politique de confidentialité publique

Voir notre politique de confidentialité pour le détail.