Données personnelles

RGPD industrie 2026 : IoT, maintenance prédictive, NIS2 + obligations

RGPD dans l'industrie : données IoT et capteurs, maintenance prédictive, badges et contrôle d'accès, articulation avec NIS2, durées de conservation, bases légales et sanctions.

Une entreprise industrielle doit traiter les données de ses capteurs IoT dès qu’elles deviennent rattachables à un opérateur identifiable, encadrer la maintenance prédictive et le contrôle d’accès, et articuler sa conformité RGPD avec la directive NIS2. Concrètement : identifier les données machine qui se transforment en données personnelles, documenter une base légale par traitement, appliquer des durées courtes (contrôle d’accès 3 mois, vidéosurveillance 1 mois), sécuriser au sens de l’art. 32, et coordonner gouvernance des données et cybersécurité NIS2 pour le secteur manufacturier.

L’industrie a longtemps cru le RGPD hors sujet — « on traite des machines, pas des personnes ». C’est faux dès qu’une donnée machine peut être reliée à l’opérateur qui la produit. Avec l’IoT, la maintenance prédictive et l’instrumentation des postes de travail, la frontière entre donnée technique et donnée personnelle est devenue poreuse. Voici le guide opérationnel.

Obligations RGPD spécifiques à l’industrie

Données IoT et capteurs : quand la donnée machine devient personnelle

Une donnée de capteur (température, vibration, cadence, position d’un chariot) est en principe une donnée machine. Mais elle devient une donnée personnelle dès qu’elle est rattachable à un opérateur identifiable : le capteur d’un poste de travail dont on connaît l’affectation, le badge qui associe une machine à un salarié, le log qui horodate une action attribuable à une personne. À partir de ce moment, le RGPD s’applique pleinement — base légale, information, durée, sécurité.

Le réflexe : cartographier vos flux IoT et distinguer ce qui reste anonyme de ce qui devient identifiant par croisement. Le principe de minimisation impose de ne relier une donnée machine à une personne que lorsque la finalité l’exige réellement.

Maintenance prédictive : le croisement à risque

La maintenance prédictive croise les données machine (état, usure, anomalies) avec des données de production — et souvent, indirectement, avec l’opérateur qui pilotait la machine. Ce croisement peut recréer une surveillance individuelle de la performance sans que ce soit l’intention initiale. Fondez ce traitement sur l’intérêt légitime, avec une mise en balance écrite, informez les salariés de la finalité réelle (fiabilité des équipements, pas notation individuelle), et évitez de produire des indicateurs individuels de performance à partir des données de maintenance. Un traitement susceptible de tourner à la surveillance justifie une analyse d’impact (AIPD).

Badges et contrôle d’accès

Les badges et le contrôle d’accès aux zones de production reposent sur l’intérêt légitime (sécurité du site, des personnes, des installations sensibles). Les données de contrôle d’accès se conservent 3 mois : elles servent la sécurité, pas le suivi des horaires ou des déplacements des salariés. Ne détournez pas le badge en outil de pointage déguisé ou de contrôle de présence continu.

Vidéosurveillance d’usine

La vidéosurveillance d’usine protège le site et le matériel (zones dangereuses, stockage, accès). Elle ne doit pas filmer en permanence les salariés à leur poste. Orientez les caméras vers les zones à risque et les accès, informez par affichage, conservez les images 1 mois maximum. Une caméra braquée sur une ligne de production pour surveiller les cadences est un usage détourné.

Articulation avec NIS2

Le secteur manufacturier figure parmi les entités importantes ou essentielles de la directive NIS2. Attention à ne pas confondre les deux régimes : NIS2 traite de cybersécurité (gouvernance du risque, gestion des incidents, mesures techniques et organisationnelles), tandis que le RGPD traite de la protection des données personnelles. Ils sont distincts mais complémentaires : la gouvernance des données exigée par le RGPD et les obligations de sécurité de l’art. 32 se renforcent mutuellement avec les mesures NIS2. Concrètement, une même politique de sécurité, une même cartographie des actifs et une même gestion des incidents servent les deux cadres. Pour le détail, voir notre guide de conformité NIS2 et la transposition de NIS2 en France.

Sous-traitants cloud/OT et transferts

Éditeurs de plateformes IoT, hébergeurs cloud, prestataires de supervision OT (technologies opérationnelles), intégrateurs : tous traitent potentiellement des données rattachables à des personnes. Chacun doit être encadré par un accord de sous-traitance (art. 28), avec une attention particulière à la localisation des données (transferts hors UE fréquents avec les plateformes IoT internationales) et à la sécurité. Vérifiez les instructions de traitement et les garanties de sécurité. Les flux logistiques et les flottes rattachés au site relèvent des mêmes exigences que dans le transport et la logistique.

Durées de conservation

Donnée / traitement Durée en base active Archivage / justification
Badges / contrôle d’accès 3 mois Sécurité du site, pas de suivi prolongé
Vidéosurveillance d’usine 1 mois Protection du matériel ; plus long seulement si procédure en cours
Logs IoT rattachables à une personne Durée selon la finalité, minimisée Anonymiser ou agréger dès que possible
Données RH 5 ans (comme la paie) Obligations sociales et fiscales

Le cadre général est détaillé dans notre guide des durées de conservation, et la CNIL le rappelle dans sa fiche officielle sur les durées de conservation : une durée non appliquée est un manquement, même si elle est écrite dans le registre.

Bases légales par traitement

Traitement Base légale (art. 6 / art. 9) Commentaire
Sécurité du site / contrôle d’accès Intérêt légitime (art. 6-1-f) Mise en balance écrite ; information des salariés
Maintenance / production (données rattachables) Intérêt légitime (art. 6-1-f) Information indispensable ; pas de notation individuelle
RH Contrat / obligation légale (art. 6-1-b/c) Gestion du personnel et obligations sociales
Sécurité des traitements Art. 32 (obligation transversale) Mesures techniques et organisationnelles, en synergie avec NIS2

Documenter la base juridique de chaque traitement dans le registre est le socle de la démarche : c’est ce document que la CNIL demande en premier.

Sanctions CNIL réelles du secteur

Soyons honnêtes : il existe peu de sanctions CNIL « industrie » pures. La CNIL privilégie dans ce secteur les mises en demeure et l’accompagnement. Mais une décision est directement transposable aux usines qui instrumentent les postes de travail.

AMAZON FRANCE LOGISTIQUE a été sanctionnée de 32 M€ (27 décembre 2023) pour une surveillance excessive de la productivité des salariés dans un environnement industriel et logistique : indicateurs mesurés en continu via les scanners, temps d’inactivité et de latence tracés, conservation jugée excessive. L’amende a été ramenée à 15 M€ par le Conseil d’État le 23 décembre 2024. C’est la référence directement transposable à toute usine qui instrumente les postes de travail (capteurs, terminaux, maintenance prédictive) : mesurer en permanence la performance individuelle est disproportionné, quelle que soit la technologie employée. Le RGPD ne vous interdit pas d’équiper vos lignes de capteurs — il vous interdit d’en faire un dispositif de surveillance individuelle continue.

Erreurs courantes

  • Croire que l’IoT échappe au RGPD : une donnée machine devient personnelle dès qu’elle est rattachable à un opérateur identifiable ; le réflexe « ce sont des machines » est le piège classique.
  • Détourner la maintenance prédictive : produire des indicateurs de performance individuelle à partir de données censées fiabiliser les équipements.
  • Confondre RGPD et NIS2 : traiter la conformité comme un seul chantier, ou au contraire les cloisonner alors que sécurité (art. 32) et cybersécurité NIS2 se mutualisent.
  • Garder les logs et images trop longtemps : vidéosurveillance au-delà d’un mois, contrôle d’accès au-delà de 3 mois, logs IoT identifiants conservés sans limite.
  • Oublier les transferts hors UE : plateformes IoT et cloud internationaux hébergeant des données rattachables à des salariés sans encadrement des transferts.
  • Instrumenter les postes sans information : déployer capteurs et terminaux sans informer les salariés ni consulter le CSE.

FAQ

Les données de capteurs IoT sont-elles des données personnelles ?

Pas par défaut, mais elles le deviennent dès qu’elles sont rattachables à une personne identifiable — par exemple lorsqu’un capteur est associé à un poste dont on connaît l’opérateur, ou qu’un log horodate une action attribuable à un salarié. Dans ce cas, le RGPD s’applique intégralement : base légale, information, durée de conservation minimisée et sécurité. Cartographiez vos flux pour distinguer le vraiment anonyme de l’identifiant par croisement.

NIS2 remplace-t-elle le RGPD dans l’industrie ?

Non. NIS2 est une directive de cybersécurité qui vise, pour le secteur manufacturier, les entités importantes ou essentielles ; le RGPD protège les données personnelles. Ils sont distincts mais complémentaires : les obligations de sécurité de l’art. 32 du RGPD et les mesures NIS2 se renforcent mutuellement. Une même gouvernance de la sécurité (cartographie des actifs, gestion des incidents, mesures techniques) sert les deux régimes.

La maintenance prédictive nécessite-t-elle une analyse d’impact ?

Souvent, oui. Dès lors que le croisement des données machine et des données rattachables aux opérateurs peut aboutir à une surveillance systématique de la performance, une AIPD s’impose. Fondez le traitement sur l’intérêt légitime, informez les salariés de la finalité réelle (fiabilité des équipements) et évitez de produire des indicateurs individuels de performance.

Conclusion

Dans l’industrie, le RGPD se joue sur une frontière : celle qui sépare la donnée machine de la donnée personnelle. Dès qu’un capteur, un badge ou un log devient rattachable à un opérateur, les principes s’appliquent — base légale, information, durée courte, sécurité. Ajoutez-y l’articulation avec NIS2, qui vise directement le secteur manufacturier, et vous obtenez une conformité à deux étages qui se mutualise plus qu’elle ne se cumule. La sanction Amazon (15 M€ après réduction) le rappelle : instrumenter n’est pas surveiller. Formez vos équipes, documentez vos traitements, et faites de la sécurité un chantier commun RGPD-NIS2. Un outil comme Legiscope, qui automatise le registre des traitements et les AIPD, permet de tenir cette double documentation à jour et de démontrer votre accountability. La formation des salariés fait le reste.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →