L es bornes IRVE en entreprise utilisant un badge nominatif ou une application mobile collectent et traitent des donnees personnelles au sens du RGPD (UE 2016/679) : identifiant badge correlable au salarie, horodatage de session, kWh delivres. Ces traitements imposent une base legale (contrat de travail ou interet legitime), un registre des traitements a jour, une information transparente des salaries, et une duree de conservation limitee. Sur les 28 audits Enerzy 2025-2026, seuls 11 sites sur 28 ont un registre des traitements IRVE conforme, les 17 autres restant en non-conformite. Cet article detaille la base legale RGPD applicable, le registre des traitements, la duree de conservation, le role du DPO et les sanctions encourues.
Trois variables structurent la conformite RGPD d un projet IRVE entreprise : la maturite du DPO (interne ou externalise), la politique de gouvernance des donnees de l entreprise, et la transparence vis-a-vis des salaries (information CSE, accord d entreprise). Les sections suivantes detaillent les donnees collectees, la base legale, le registre, l information salarie, le role du DPO et les sanctions.
Donnees personnelles collectees par une borne IRVE entreprise
Les donnees collectees par une borne IRVE utilisant un badge nominatif ou une application mobile sont des donnees personnelles au sens de l article 4 du RGPD : toute information se rapportant a une personne physique identifiee ou identifiable.
Quatre types de donnees sont systematiquement collectes par les operateurs IRVE entreprise. Donnee 1 : identifiant badge ou application (numero RFID, identifiant mobile). Cette donnee est correlable au salarie via la table de correspondance badge-salarie maintenue par les services generaux ou la DRH. Donnee 2 : horodatage de session (date, heure de debut et fin). Permet de tracer les comportements de recharge dans le temps. Donnee 3 : volume energetique (kWh delivres). Necessaire pour la facturation, la refacturation salarie et l avantage en nature URSSAF. Donnee 4 : statut de la session (terminee, interrompue, erreur). Permet le diagnostic et la facturation.
Des donnees complementaires peuvent etre collectees selon les configurations : plaque d immatriculation du vehicule (en cas de reconnaissance ALPR), localisation precise de la borne (multi-sites), donnees biometriques (en cas d authentification biometrique, rare). Ces donnees complementaires elevent le niveau de sensibilite RGPD et necessitent generalement une AIPD (analyse d impact RGPD).
Base legale RGPD : contrat de travail ou interet legitime
Deux bases legales RGPD sont applicables au traitement des donnees IRVE en entreprise, definies par l article 6 du RGPD.
Base legale 1 : execution du contrat de travail (art. 6.1.b RGPD). Si la recharge IRVE est integree dans les avantages contractuels du salarie : mentionnee dans le contrat de travail, dans un avenant, dans un accord d entreprise sur les avantages, dans un accord salarial sur la mobilite. C est la base legale la plus solide et la moins contestable. 9 sites sur 28 chez Enerzy invoquent cette base legale.
Base legale 2 : interet legitime de l employeur (art. 6.1.f RGPD). Si la recharge IRVE releve d une politique mobilite generale sans engagement contractuel individuel : PDM publie, charte mobilite interne. L interet legitime necessite un test d equilibre formalisé montrant que les interets de l entreprise (electromobilite, RSE, attractivite) ne sont pas disproportionnes par rapport aux droits des salaries. 2 sites sur 28 invoquent cette base.
Base a eviter : consentement (art. 6.1.a). En relation employeur-salarie, le consentement est presumé non libre en raison du desequilibre intrinseque. La CNIL deconseille systematiquement cette base legale dans le contexte salarial. Aucun site Enerzy n a invoque le consentement.
Le choix de la base legale doit etre documente dans le registre des traitements et explique aux salaries lors de l information.
Registre des traitements : champs obligatoires et exemple
L article 30 du RGPD impose un registre des traitements tenu a jour par le DPO. Pour le traitement IRVE entreprise, le registre doit detailler 8 champs obligatoires.
Champ 1 : nom du traitement. Exemple : Gestion des sessions de recharge electrique salaries.
Champ 2 : finalite du traitement. Permettre aux salaries de recharger leurs vehicules personnels electriques sur le lieu de travail, refacturer la consommation electrique, calculer l avantage en nature URSSAF, securiser l acces aux bornes.
Champ 3 : base legale. Execution du contrat de travail (art. 6.1.b RGPD) en lien avec l accord d entreprise du XX/XX/2026.
Champ 4 : categories de personnes concernees. Salaries de l entreprise, eventuellement visiteurs occasionnels.
Champ 5 : categories de donnees. Identifiant badge, horodatage session, kWh, statut, identifiant employeur (matricule).
Champ 6 : destinataires. Services generaux, DRH (pour avantage en nature), DAF (pour refacturation), operateur IRVE sous-traitant.
Champ 7 : duree de conservation. 6 ans (alignement controle URSSAF) puis anonymisation ou suppression.
Champ 8 : mesures de securite. Chiffrement OCPP 2.0.1 TLS 1.2, segmentation VLAN dedie, controle d acces back-office, traces d audit.
Sur 28 audits Enerzy 2025-2026, seuls 11 sites ont un registre complet sur les 8 champs.
Information des salaries : note CSE et mentions obligatoires
L information des salaries sur le traitement IRVE est une obligation RGPD (articles 13 et 14). Trois canaux sont generalement utilises en pratique.
Canal 1 : note d information CSE. Presentation du projet IRVE en CSE incluant un volet RGPD : donnees collectees, finalite, base legale, duree, droits des salaries (acces, rectification, opposition). Compte-rendu CSE valant note d information formelle.
Canal 2 : mention dans le contrat de travail ou avenant. Pour les nouveaux salaries, mention systematique du traitement IRVE dans le contrat ou un avenant standard. Pour les salaries existants, mention dans un avenant ou un accord collectif sur les avantages mobilite.
Canal 3 : charte mobilite ou note interne. Document publie sur l intranet RH detaillant le fonctionnement du parc IRVE et le traitement des donnees personnelles associees. Document referentiel facilement actualisable.
Les mentions obligatoires d information RGPD : identite et coordonnees du responsable de traitement, coordonnees du DPO, finalites du traitement et base legale, destinataires des donnees, duree de conservation, droits des salaries (acces, rectification, effacement, opposition, portabilite), droit de reclamation aupres de la CNIL, base legale du transfert hors UE si applicable.
Sur 28 audits Enerzy, 15 sites ont mis en place au moins 2 des 3 canaux d information, 13 sites restent insuffisants sur l information RGPD salariale.
Role du DPO et processus de validation projet IRVE
Le DPO (Delegue a la Protection des Donnees) joue un role central dans la validation d un projet IRVE entreprise sous l angle RGPD. Quatre etapes typiques structurent son intervention sur les 28 audits Enerzy 2025-2026.
Etape 1 : analyse d impact RGPD (AIPD). Le RGPD impose une AIPD pour les traitements a risque eleve (art. 35). Pour la majorite des projets IRVE entreprise standard (badge nominatif, donnees classiques), une AIPD complete n est pas obligatoire mais une analyse simplifiee documentee est recommandee. Pour les projets avec geolocalisation precise, reconnaissance plaque, biometrie : AIPD obligatoire.
Etape 2 : mise a jour du registre des traitements. Ajout du traitement IRVE avec ses 8 champs obligatoires (cf section precedente). Le registre est generalement gere par le DPO via un outil dedie (OneTrust, Witik, Privacy1, DataLegalDrive).
Etape 3 : redaction des mentions d information salarie. Le DPO valide les notes CSE, avenants contrats, charte mobilite pour s assurer que toutes les mentions RGPD obligatoires y figurent et sont comprehensibles.
Etape 4 : validation des modalites techniques avec l operateur. Verification du chiffrement OCPP, signature du contrat de sous-traitance art. 28 RGPD avec l operateur IRVE (obligatoire), verification de la localisation des serveurs (UE de preference), modalites de notification en cas de violation de donnees.
Le delai moyen d intervention DPO observe sur 28 audits Enerzy est de 1 a 3 mois entre saisine et validation finale. Pour anticiper, integrer le DPO des la phase projet evite des allers-retours en fin de chaine.
Sanctions CNIL et risques de plaintes salariales
Les sanctions CNIL en cas de non-conformite RGPD sont definies par l article 83 du RGPD et peuvent atteindre 4 pour cent du chiffre d affaires mondial ou 20 millions EUR (le montant le plus eleve), pour les manquements les plus graves.
Pour les bornes IRVE entreprise, les risques de non-conformite identifies par Enerzy sont les suivants. Risque 1 : absence de registre des traitements integrant les donnees IRVE (cas le plus frequent, 17 sites sur 28 non conformes). Risque 2 : absence d information transparente des salaries (13 sites insuffisants). Risque 3 : duree de conservation non definie ou excessive (20 sites sans duree formelle). Risque 4 : absence de contrat de sous-traitance art. 28 RGPD avec l operateur IRVE (obligation legale, 5 sites sans contrat formalise). Risque 5 : transfert de donnees hors UE non documente (rare mais existant).
En pratique, les sanctions CNIL sur les bornes IRVE restent marginales en 2025-2026 : la CNIL priorise d autres domaines (sante, marketing direct, biometrie). Mais l exposition est reelle et croissante avec la massification des bornes en entreprise. 3 sites Enerzy ont recu une mise en demeure CNIL suite a plainte salariale en 2025-2026 (motifs : information insuffisante, opposition au traitement non traitee).
La bonne pratique est d anticiper la conformite RGPD des la phase projet plutot que de la corriger sous pression d une plainte ou d un controle. Le cout de mise en conformite a posteriori est generalement 2 a 5 fois superieur au cout d integration en amont. Pour structurer, consultez le comparateur d operateurs.
Passer a l action
Pour estimer precisement le cout total et la prime ADVENIR sur votre projet, utilisez le simulateur Loi LOM : calcul en 90 secondes, application automatique des baremes de l Arrete du 24 decembre 2025, breakdown reste a charge.
Pour comparer objectivement les 6 operateurs IRVE entreprise sur 27 criteres publics, utilisez le comparateur d operateurs : Driveco, ChargeGuru, ChargePoint, PowerDot, IZI by EDF, Beev.