Retour au blog
Article
24 mars 2026RGPD auto-école données élèves
Cadenas numérique sur un dossier d'élève auto-école symbolisant la protection des données

Lundi, 15h. Un ancien élève appelle. "J'ai passé mon permis chez vous il y a 3 ans. Je voudrais savoir quelles données vous avez encore sur moi." Vous cherchez dans votre logiciel, dans vos classeurs, dans vos mails. Vous trouvez : nom, prénom, date de naissance, adresse, numéro de téléphone, copie du passeport, attestation de domicile, relevé de pièce d'identité. Vous avez tout gardé. Et le RGPD dit que vous n'auriez pas dû.

Le RGPD s'applique à toutes les auto-écoles. Pas parce que vous êtes une entreprise tech, mais parce que vous collectez et stockez des données personnelles — et pas des moindres. Voici ce qu'il faut faire, concrètement, sans jargon juridique.

Ce que vous collectez (et pourquoi c'est sensible)

Une auto-école classique détient sur chaque élève :

  • Identité : nom, prénom, date et lieu de naissance, nationalité
  • Contact : adresse, téléphone, email
  • Documents : copie de pièce d'identité, justificatif de domicile, photo d'identité
  • Données médicales : certificat médical (permis poids lourd), lunettes/lentilles
  • Données financières : RIB (prélèvements), historique de paiement
  • Données pédagogiques : résultats d'examens, heures de conduite, observations moniteur

Pour 100 élèves actifs, c'est plusieurs centaines de documents personnels. Un cambriolage, un piratage informatique ou un simple vol de PC portable, et ces données se retrouvent dans la nature.

Le risque n'est pas théorique. En 2024, la CNIL a sanctionné un organisme de formation (3 500 € d'amende) pour stockage excessif de données et absence de politique de conservation. Les auto-écoles sont dans le viseur.

Les 5 obligations concrètes

1. Informer les élèves

Chaque élève doit savoir, au moment de l'inscription :

  • Quelles données vous collectez
  • Pourquoi vous les collectez
  • Combien de temps vous les gardez
  • À qui vous les transmettez (ANTS, assurance, etc.)
  • Comment exercer ses droits (accès, rectification, suppression)

En pratique : une clause de 10 lignes dans votre contrat d'inscription + une mention sur votre site web. Pas un document de 20 pages — juste l'essentiel.

2. Ne collecter que le nécessaire (minimisation)

Vous avez besoin de la pièce d'identité pour l'inscription au permis. Vous n'avez pas besoin du numéro de sécurité sociale, de l'employeur ou du statut marital.

Règle simple : pour chaque donnée que vous demandez, posez-vous la question : "Est-ce que j'en ai besoin pour former cet élève et le présenter à l'examen ?" Si non, ne la demandez pas.

3. Limiter la durée de conservation

C'est le point le plus ignoré. Combien de temps pouvez-vous garder les données d'un élève ?

Type de donnée Durée de conservation
Dossier d'inscription actif Durée de la formation + 1 an
Dossier d'ancien élève 3 ans après la fin de la formation
Documents comptables 10 ans (obligation légale)
Copies de pièces d'identité Fin de la formation + 1 an maximum
Données de prospects non inscrits 3 ans après le dernier contact

Action immédiate : si vous avez des dossiers d'élèves de 2018 dans un placard, ils auraient dû être détruits. Faites un tri.

4. Sécuriser les données

Pas besoin d'un système militaire. Les basiques suffisent :

  • Ordinateur : mot de passe fort, antivirus à jour, sauvegardes régulières
  • Logiciel de gestion : accès par mot de passe, pas de partage de compte
  • Dossiers papier : armoire fermée à clé, pas sur le bureau en libre accès
  • Email : ne pas envoyer de copies de pièces d'identité en clair par mail
  • Wi-Fi : réseau sécurisé, pas le même que celui des élèves en salle de code

5. Tenir un registre des traitements

Un document simple (tableur Excel suffit) qui liste :

  • Quelles données vous traitez
  • Pour quelle finalité
  • Qui y a accès
  • Combien de temps vous les gardez
  • Quelles mesures de sécurité sont en place

C'est obligatoire pour toute structure qui traite des données de manière non occasionnelle. Une auto-école = traitement régulier = registre obligatoire.

Le délégué à la protection des données (DPO) : obligatoire ?

Non, pas pour une auto-école classique. Le DPO est obligatoire pour les structures qui traitent des données à grande échelle ou des données sensibles en masse. Une auto-école de 1 à 10 véhicules n'est pas concernée.

En revanche, désigner un référent RGPD interne (vous-même ou un collaborateur) est une bonne pratique. Cette personne s'assure que les règles sont respectées et gère les demandes des élèves.

Les sanctions : ce que risque une auto-école

La CNIL peut sanctionner :

  • Avertissement : premier niveau, sans amende
  • Mise en demeure : obligation de se conformer sous délai (1 à 6 mois)
  • Amende : jusqu'à 20 M€ ou 4% du CA (en théorie). En pratique, pour une auto-école, les amendes vont de 1 000 à 10 000 €
  • Injonction de cesser le traitement : vous ne pouvez plus stocker de données = vous ne pouvez plus inscrire d'élèves

Le risque le plus concret : un élève mécontent qui dépose une plainte à la CNIL. Le délai de traitement de la plainte est de 3 à 12 mois, mais la charge administrative (répondre à la CNIL, fournir les preuves de conformité) est lourde.

La mise en conformité en 5 étapes (un week-end suffit)

  1. Samedi matin : listez toutes les données que vous collectez (registre des traitements)
  2. Samedi après-midi : ajoutez une clause RGPD à votre contrat d'inscription et une mention sur votre site
  3. Dimanche matin : triez vos vieux dossiers — détruisez ce qui dépasse les durées de conservation
  4. Dimanche après-midi : sécurisez (mot de passe PC, armoire fermée, sauvegarde)
  5. Lundi : formez votre équipe en 15 minutes : "On ne laisse pas de dossiers sur le bureau, on ne donne pas d'info élève par téléphone sans vérification"

Total : un week-end de travail. Pas besoin d'un avocat à 300 €/h.

FAQ

Si j'utilise un logiciel cloud, qui est responsable des données ?

Vous. Le logiciel est un "sous-traitant" au sens du RGPD, mais la responsabilité reste la vôtre. Vérifiez que votre éditeur est conforme RGPD (hébergement en Europe, clause de traitement signée).

Un élève peut-il me demander de supprimer toutes ses données ?

Oui, sauf celles que vous devez garder par obligation légale (comptabilité : 10 ans). Pour le reste, vous devez supprimer dans un délai d'un mois après la demande.

La digitalisation de mon auto-école aggrave-t-elle le risque RGPD ?

Au contraire. Un logiciel bien configuré automatise la suppression des données périmées, trace les accès et sécurise le stockage. C'est le papier qui pose le plus de problèmes RGPD : dossiers qui traînent, copies non détruites, accès non contrôlé.

Un accueil téléphonique conforme et sécurisé. Driving Voice traite les appels sans stocker de données inutiles — et respecte le RGPD par conception. Testez gratuitement pendant 14 jours — sans carte bancaire.