Géolocalisation : comment les fournisseurs protègent-ils les données des entreprises ?

Précieuses pour la société qui les exploite, les données de géolocalisation ne doivent pas « fuiter » vers un concurrent ou un intermédiaire malveillant. Les fournisseurs d'un système de géolocalisation de véhicule par exemple, appliquent en matière de sécurité, une réglementation française et européenne très stricte, et y ajoutent parfois leurs propres précautions.

« Et si les emplacements de tous mes clients, ou les trajets et horaires de mes livraisons de produits de forte valeur, tombaient entre de mauvaises mains ? » Les entreprises ont raison de se poser ces questions. Mais qu’elles soient rassurées : les données issues de la géolocalisation sont solidement protégées contre les fuites et les hackers.

Du boîtier de géolocalisation aux serveurs, des données cryptées

Depuis l’entrée en application de la RGPD* en 2018, elles sont obligatoirement stockées sur des serveurs sécurisés situés en Europe. Elles sont également cryptées et anonymes : on sait que tel utilitaire était à tel endroit tel jour, mais on ignore l’identité du conducteur. 

Verizon Connect, dont les serveurs sont à Dublin, a ajouté deux niveaux de sécurité supplémentaires. D’abord, les données sont cryptées à la source, dès qu’elles sont émises par le boîtier du véhicule. Ensuite, le recueil en direct des informations et leur sauvegarde sont hébergés dans deux serveurs distincts. Enfin, les 40 collaborateurs irlandais qui supervisent le data center ont accès à ses paramètres techniques (températures, courants…) mais ni aux disques durs ni aux données. 

Archivage des données : 90 jours maximum

De plus, ces données ne sont pas archivées longtemps. La CNIL** limite leur durée de conservation à deux mois, auxquels s’ajoute le mois en cours (soit 90 jours maximum). Ce délai est si court que souvent, les entreprises choisissent d’extraire les informations les plus pertinentes et de les sauvegarder sur leur propre outil informatique.

Sur demande expresse du client, le délai de conservation peut être prolongé à un an et au mois en cours. Mais après 13 mois maximum, tout est effacé, sans recours possible.

Des accès restreints pour la formation et le SAV

Quant à l’équipe Verizon France, elle n’a accès aux données de ses clients que dans deux cas. D’abord, la formation initiale à l’outil Reveal, après une dizaine de jours d’utilisation en moyenne. L’intervenant s’appuie sur les informations déjà recueillies pour rendre son propos concret. Mais celles-ci sont forcément peu nombreuses et incomplètes : il est rare qu’une flotte soit équipée à 100% en si peu de temps. 

Second cas : les activités de SAV en cas de défaut ou de panne du système. Les techniciens accèdent alors à des données partielles : immatriculations des véhicules, localisations et horaires. Mais seulement avec l’accord du client, et pour la durée de l’intervention. Puis les serveurs redeviennent inaccessibles.

On le voit : tout a été prévu et le risque de fuite est extrêmement réduit. Verizon Connect compte d’ailleurs parmi ses clients un transporteur de fonds de taille mondiale, dont les tournées doivent bien sûr rester secrètes. Un défi que la géolocalisation relève avec succès.

* Réglementation générale sur la protection des données

* Commission nationale de l’informatique et des libertés