Valise diagnostic, OBD2 et RGPD : le garagiste face aux données du client
Brancher une valise OBD2 ne se limite plus à lire un code défaut. Vous accédez aux trajets, à la géolocalisation, parfois aux contacts Bluetooth du client. Depuis l'avis CNIL 2024, le garagiste est officiellement responsable de traitement RGPD. Ce que cela change.
- Un véhicule connecté moderne stocke jusqu'à 25 catégories de données personnelles, dont la géolocalisation des derniers trajets.
- Depuis 2024, la CNIL considère le garagiste comme responsable de traitement dès le branchement d'une valise diagnostic.
- Une fuite de données ou un piratage du calculateur peut déclencher une amende RGPD jusqu'à 4 % du chiffre d'affaires annuel.
- La cyberassurance professionnelle couvre la gestion de crise, la notification CNIL, et les rançongiciels visant les valises et logiciels d'atelier.
Le véhicule moderne : un coffre-fort de données personnelles
La voiture de 2026 n'est plus un objet mécanique : c'est un ordinateur sur roues qui collecte en permanence des informations sur son conducteur. Une étude de l'organisation Mozilla Foundation, publiée en septembre 2023, a recensé jusqu'à 25 catégories de données personnelles stockées dans les véhicules connectés grand public.
Concrètement, lorsqu'un client vous confie son véhicule, vous pouvez accéder via la prise OBD2 ou les outils constructeurs à :
- Les derniers trajets effectués (date, durée, kilométrage, parfois itinéraire complet).
- L'historique des vitesses et des comportements de conduite.
- Les contacts Bluetooth synchronisés et l'historique d'appels.
- Les destinations enregistrées dans le GPS (domicile, travail, lieux de vacances).
- Les identifiants des smartphones appairés.
Ces données ont une valeur juridique et commerciale. Elles relèvent toutes du Règlement Général sur la Protection des Données (RGPD) et imposent désormais au garagiste des obligations précises.
L'avis CNIL 2024 : le garagiste devient responsable de traitement
Jusqu'à récemment, beaucoup d'artisans considéraient que les données du véhicule étaient l'affaire du constructeur. La position de la CNIL, précisée en 2024 dans ses lignes directrices sur les véhicules connectés, est désormais claire : dès lors qu'un professionnel accède, copie ou modifie des données personnelles via une valise diagnostic ou un outil constructeur, il devient responsable de traitement au sens de l'article 4 du RGPD.
Cette qualification déclenche un faisceau d'obligations.
L'information du client
Vous devez informer votre client, avant l'intervention, des catégories de données auxquelles vous allez accéder, de la finalité (diagnostic, réparation, validation) et de la durée de conservation. Un panneau en atelier ne suffit pas : une mention écrite sur l'ordre de réparation est désormais la pratique recommandée.
La minimisation
Vous ne devez accéder qu'aux données strictement nécessaires à votre prestation. Lire l'historique GPS pour diagnostiquer un défaut moteur constitue une collecte excessive, sanctionnable.
La sécurisation
Les données extraites doivent être protégées : ordinateur d'atelier verrouillé, sauvegardes chiffrées, accès limité aux compagnons habilités. Une clé USB de diagnostic oubliée sur un comptoir constitue une violation potentielle.
Les sanctions concrètes en cas de manquement
La CNIL ne ménage plus les TPE et PME. Plusieurs ateliers et garages ont reçu en 2023 et 2024 des avertissements publics, voire des amendes, pour défaut d'information ou conservation excessive de données issues de valises OBD2.
Les sanctions théoriques du RGPD restent vertigineuses : jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. En pratique, pour un garagiste indépendant, les sanctions s'établissent plus modestement : amendes de 1 000 à 20 000 euros, ou mises en demeure publiques avec impact réputationnel non négligeable dans une zone de chalandise locale.
Au-delà du RGPD, la responsabilité civile peut être engagée : un client dont les contacts Bluetooth ont été divulgués peut réclamer des dommages-intérêts au titre de l'atteinte à la vie privée (article 9 du Code civil).
Le risque cyber sous-estimé : valises piratées et rançongiciels
Une seconde menace, moins médiatique mais bien réelle, pèse sur les ateliers automobiles : la cybercriminalité. Plusieurs vecteurs d'attaque ciblent spécifiquement le secteur.
Le rançongiciel sur logiciel d'atelier
Les DMS (Dealer Management Systems) et les logiciels de devis-facturation contiennent les coordonnées de tous vos clients, leurs immatriculations et leurs historiques de réparation. Un rançongiciel paralyse l'atelier et expose la base à la fuite. Selon le rapport ANSSI 2024, le secteur réparation automobile fait partie des dix secteurs les plus touchés en proportion par les rançongiciels TPE-PME.
La valise OBD2 compromise
Des cas de valises diagnostic modifiées (firmware altéré) sont remontés en 2023 : elles renvoient les codes lus à un serveur tiers, exposant les données du véhicule. Ce risque, encore marginal, justifie l'achat de matériel auprès de fournisseurs sérieux et la mise à jour régulière des firmwares.
Le phishing constructeur
Les faux mails imitant Renault, Stellantis ou Bosch demandant la connexion aux portails techniques sont en forte hausse. Une seule compromission de compte donne accès aux mots de passe et données clients du portail constructeur.
Cyberassurance professionnelle : ce qu'elle couvre vraiment
La cyberassurance professionnelle n'est plus un produit de niche réservé aux grandes entreprises. Pour un garage, elle couvre désormais quatre familles de prestations essentielles.
- La gestion de crise immédiate : hotline 24/7, mobilisation d'experts en cybersécurité, isolement du système contaminé, communication avec les autorités.
- La notification réglementaire : assistance juridique pour la notification CNIL sous 72 heures (obligatoire en cas de violation de données) et information des clients concernés.
- La reconstruction des systèmes : prise en charge des coûts de restauration des données, du nettoyage des serveurs et de la réinstallation des logiciels d'atelier.
- Les pertes d'exploitation : indemnisation du chiffre d'affaires perdu pendant l'immobilisation de l'atelier, généralement à compter de la 24e heure d'interruption.
Les contrats du marché pour un atelier indépendant proposent des plafonds usuels de 100 000 € à 500 000 €, pour des primes annuelles comprises entre 300 € et 900 €. Un investissement modeste face au coût moyen d'un rançongiciel TPE estimé à 35 000 euros par l'ANSSI.
Plan d'action en 7 jours pour mettre votre atelier en conformité
Pas besoin de tout révolutionner : un plan en sept jours suffit à atteindre un niveau de conformité raisonnable.
- Jour 1 : recensez les outils accédant aux données du véhicule (valises, logiciels DMS, portails constructeurs).
- Jour 2 : rédigez une mention RGPD à intégrer aux ordres de réparation et bons de commande.
- Jour 3 : changez tous les mots de passe des comptes constructeurs et activez la double authentification.
- Jour 4 : sauvegardez votre logiciel d'atelier sur support externe déconnecté (anti-rançongiciel).
- Jour 5 : formez vos compagnons à la minimisation des données (ne pas extraire plus que nécessaire).
- Jour 6 : souscrivez ou ajustez votre cyberassurance avec un plafond adapté à votre volume d'activité.
- Jour 7 : documentez l'ensemble dans un registre des traitements simplifié, exigé par la CNIL.
Pour aller plus loin sur les risques spécifiques de votre activité, parcourez notre page assurance garagiste / mécanicien et son zoom dédié à la protection des données.
Questions fréquentes
Oui. L'obligation de registre concerne tous les responsables de traitement, sans seuil d'effectif. Pour un garagiste indépendant, un registre simplifié d'une à deux pages mentionnant les finalités (réparation, facturation, diagnostic), les catégories de données et les durées de conservation suffit. La CNIL met à disposition un modèle gratuit.
Uniquement pendant la durée nécessaire à la prestation (généralement la fin de la garantie de la réparation) ou pour répondre à une réclamation. Au-delà, les données doivent être supprimées. La conservation indéfinie "au cas où" est interdite et sanctionnable.
Oui, vous restez responsable de traitement vis-à-vis de vos clients. L'éditeur SaaS est sous-traitant au sens RGPD : vous devez signer une convention de sous-traitance (article 28 RGPD) avec lui, vérifier qu'il chiffre les données et qu'il assure une localisation européenne du stockage.
Généralement non. La multirisque atelier couvre les dommages aux biens matériels (incendie, dégât des eaux, vol par effraction) mais pas les sinistres numériques. La garantie cyber est un contrat distinct, dont les conditions et les exclusions divergent fortement entre assureurs. Une lecture attentive avant souscription est indispensable.
Si la fuite est susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, oui, dans les 72 heures (article 33 RGPD). Pour des données simples (nom, immatriculation), le risque peut être considéré comme faible et la notification facultative. Pour des données sensibles (géolocalisation, contacts), la notification est presque toujours nécessaire. Votre cyberassureur vous aide à trancher.
Souscrivez votre assurance pro en 2 minutes
Toutes nos protections pour votre activité de Garagiste / mécanicien auto — attestation immédiate, sans engagement.
* Tarifs indicatifs « à partir de », selon votre profil, votre activité et les garanties choisies. · Voir la fiche Garagiste / mécanicien auto →
Article rédigé et vérifié par l'équipe Insurio — Tutassûr, courtier en assurance immatriculé à l'ORIAS sous le n° 22001730. Information à caractère général ne se substituant pas aux conditions de votre contrat.