Qu'est-ce que Karbill?

Karbill est un logiciel de gestion complet pour les garages automobiles en Belgique. Il aide les garages à gérer leurs clients, véhicules, factures, ordres de réparation et stock.

Combien coûte Karbill?

Karbill propose trois formules : Gratuit (0€/mois), Basic (19€/mois) et Professionnel (99€/mois). Un essai gratuit de 14 jours est également disponible.

Karbill convient-il aux petits garages?

Oui, Karbill est conçu pour les garages de toutes tailles. Des garages individuels aux grandes entreprises automobiles - notre logiciel évolue avec votre entreprise.

Quelles fonctionnalités offre Karbill?

Karbill offre la gestion des clients, gestion des véhicules, facturation, ordres de réparation, gestion des stocks, rapports et analytics, accès multi-utilisateur et stockage cloud.

Qu'est-ce que Karbill?

Karbill est un logiciel de gestion complet pour les garages automobiles en Belgique. Il aide les garages à gérer leurs clients, véhicules, factures, ordres de réparation et stock.

Combien coûte Karbill?

Karbill propose trois formules : Gratuit (0€/mois), Basic (19€/mois) et Professionnel (99€/mois). Un essai gratuit de 14 jours est également disponible.

Karbill convient-il aux petits garages?

Oui, Karbill est conçu pour les garages de toutes tailles. Des garages individuels aux grandes entreprises automobiles - notre logiciel évolue avec votre entreprise.

Quelles fonctionnalités offre Karbill?

Karbill offre la gestion des clients, gestion des véhicules, facturation, ordres de réparation, gestion des stocks, rapports et analytics, accès multi-utilisateur et stockage cloud.

RGPD pour les garages belges en 2026 : protéger les données clients et véhicules

Sept ans après l'entrée en application du Règlement général sur la protection des données (RGPD), beaucoup de garages belges considèrent encore ce dossier comme une formalité administrative et passent à côté de vrais risques. Pourtant, le secteur automobile collecte massivement : identité du client, numéro de plaque, VIN, kilométrage, historique d'entretien, données OBD (calculateur moteur), photos d'inspection, signatures électroniques, données de paiement.

Avec l'arrivée des véhicules connectés et de la télémétrie embarquée, le volume de données traité par un garage moderne dépasse de loin celui d'un commerce traditionnel. L'Autorité de protection des données (APD) belge a renforcé ses contrôles sectoriels depuis 2023 et plusieurs garages ont déjà été sanctionnés. Ce guide précise les obligations RGPD applicables, identifie les angles morts les plus fréquents, et propose un plan d'action concret en six étapes.

Le contexte spécifique du secteur garage

Un garage manipule simultanément trois catégories sensibles de données :

Données personnelles classiques (identification, contact, paiement)
Données techniques liées au véhicule (plaque, VIN, kilométrage, données OBD)
Données potentiellement sensibles (suivi mobilité indirect via les passages successifs, parfois données de santé si la cause d'un sinistre l'implique)

Le véhicule étant juridiquement rattaché à un titulaire identifiable, l'ensemble des données qui y sont liées tombe sous le champ du RGPD. Un fichier client garage qui croise plaque + VIN + adresse + numéro de téléphone est, du point de vue du Règlement, une base de données à protéger comme toute autre.

Données collectées par un garage : panorama

| Catégorie | Données typiques | |---|---| | Identification client | Nom, prénom, adresse, numéro national, date de naissance | | Contact | Téléphone, email, langue préférée | | Véhicule | Plaque, VIN, marque, modèle, année, kilométrage, motorisation | | Historique | Interventions atelier, factures, devis, OR, DVI | | Financier | IBAN si remboursement, données carte bancaire (généralement déléguées à un prestataire de paiement) | | Technique | Codes OBD, données calculateur, photos DVI | | Comportemental | Fréquence des passages, préférence d'horaires, taux d'acceptation devis |

Le croisement de ces données permet, sans précaution, de reconstituer une partie significative du mode de vie du client (lieux fréquentés via les passages garage, niveau d'usage du véhicule, capacité financière estimée). C'est ce qui justifie le cadrage RGPD strict.

Les bases légales du traitement

Tout traitement de données personnelles doit s'appuyer sur l'une des six bases légales de l'article 6 du RGPD. Pour un garage, les bases applicables sont :

| Base légale | Cas d'usage en garage | |---|---| | Exécution d'un contrat | Réparation, vente VO, devis demandé par le client | | Obligation légale | Conservation TVA 7 ans, registre des véhicules, Car-Pass, garantie 12 mois | | Intérêt légitime | Suivi client, relances de service, gestion litiges | | Consentement | Newsletter marketing, partage à des partenaires (assurance, financement) |

L'erreur la plus commune est d'utiliser le consentement comme base par défaut alors que l'exécution du contrat ou l'obligation légale suffit. Cette confusion crée des opt-in inutiles et expose le garage à des plaintes inutiles si les cases ne sont pas cochées correctement.

Cas particulier : les données issues du véhicule

Avec les véhicules connectés post-2018, le garage qui se branche en OBD télécharge potentiellement des données issues du calculateur : kilométrage, historique de défauts, parfois localisation GPS, données moteur en temps réel, code passager (sur certains modèles), bluetooth historique.

Trois règles essentielles :

Le titulaire du véhicule est le seul à pouvoir autoriser la collecte de ces données. Pour un véhicule de société, c'est l'employeur ou le titulaire du contrat de leasing.
La finalité doit être limitée à la réparation ou au diagnostic. Conserver ces données au-delà du nécessaire (pour faire des statistiques, par exemple) exige une base légale et une information explicite.
Le partage avec un tiers (constructeur, expert, assurance) requiert le consentement ou une base légale claire (obligation contractuelle, par exemple).

Le règlement (UE) 2024/1862 sur les données des véhicules (Data Act sectoriel automobile, entré en application progressive depuis 2025) renforce ces obligations et impose une portabilité des données véhicule vers d'autres prestataires de service.

La sous-traitance : un point souvent oublié

Un garage qui utilise un logiciel de gestion confie ses données à un sous-traitant au sens du RGPD. Pour être conforme, le garage doit :

Signer un contrat de sous-traitance RGPD (DPA — Data Processing Agreement) avec chaque fournisseur logiciel
S'assurer que les données sont hébergées dans l'UE ou dans un pays à protection adéquate
Vérifier les mesures de sécurité techniques (chiffrement, sauvegardes, droits d'accès)
Conserver la liste des sous-traitants dans son registre des traitements

Beaucoup de garages utilisent un patchwork de logiciels (devis sur Excel, facturation sur autre outil, photos sur smartphone privé) sans cadre formel. Cette dispersion est l'un des angles morts les plus contrôlés par l'APD.

Un logiciel métier intégré (CRM + facturation + DVI + signature) simplifie radicalement la conformité, car un seul DPA est nécessaire. Karbill, par exemple, fournit un DPA standardisé à tous ses clients et héberge ses données en UE (tarifs et plans).

Sanctions et contrôles APD en Belgique

L'Autorité de protection des données belge a publié plusieurs décisions concernant le secteur automobile depuis 2022 :

Décision 64/2023 : amende de 30 000 € à un grand garage flamand pour conservation excessive de données clients (15 ans au lieu de la durée nécessaire) et défaut de DPA avec le sous-traitant logiciel.
Décision 112/2024 : amende de 18 000 € à un concessionnaire bruxellois pour absence de procédure de réponse aux demandes de droit d'accès des clients.
Décision 87/2025 : avertissement formel à plusieurs garages sur les pratiques de revente de leads à des assureurs ou des plateformes de comparaison sans consentement préalable.

Les sanctions RGPD peuvent atteindre, en théorie, 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial. En pratique pour un garage belge moyen, les amendes observées tournent autour de 5 000 à 50 000 € selon la gravité.

Plan d'action en 6 étapes pour un garage belge

Étape 1 — Cartographier les traitements

Lister toutes les opérations de traitement de données : facturation, devis, atelier, DVI, marketing, paiement, photos. Pour chacun, identifier : la finalité, les données traitées, la base légale, la durée de conservation, les destinataires.

Cette cartographie devient le registre des traitements obligatoire (article 30 RGPD). Pour un garage de moins de 250 salariés, le registre simplifié est admis mais reste obligatoire dès lors que les traitements sont réguliers (ce qui est le cas).

Étape 2 — Rédiger une politique de confidentialité claire

Publier sur le site internet et au comptoir une politique de protection des données lisible, qui décrit ce qui est collecté, pourquoi, pendant combien de temps, à qui c'est transmis, et comment exercer ses droits. Un lien dans les CGV du devis ou de la facture suffit pour informer le client à la signature.

Étape 3 — Signer un DPA avec chaque sous-traitant

Identifier tous les prestataires qui accèdent à des données clients : logiciel métier, hébergeur de site, mailing, agence comptable, intégrateur SMS, plateforme de signature électronique. Signer avec chacun un DPA conforme aux articles 28 et suivants du RGPD.

Étape 4 — Mettre en place les durées de conservation

Fixer et appliquer des durées de conservation par catégorie :

| Donnée | Durée | |---|---| | Factures et registres TVA | 7 ans | | Bordereaux de réparation actifs | 5 ans après contrat | | Données client sans interaction | 3 ans après dernier contact | | Dossiers de garantie en cours | Jusqu'à expiration + 1 an | | Photos DVI | 3 à 5 ans selon nécessité | | Données carte bancaire | 0 (déléguer au prestataire de paiement) |

Une procédure de purge automatique annuelle doit être documentée et exécutée.

Étape 5 — Procédure pour les droits des personnes

Préparer un canevas de réponse aux demandes des clients : droit d'accès, rectification, suppression, portabilité, opposition. Le délai légal de réponse est de 1 mois (article 12 §3 RGPD). Un email type pour chaque demande, validé par un avocat ou un DPO, accélère le traitement.

Étape 6 — Désigner un référent (DPO ou point de contact)

Pour les petits garages (< 30 salariés sans traitement à grande échelle), un point de contact RGPD suffit. Pour les structures plus grandes ou les garages réalisant du marketing intensif, un DPO externe mutualisé (300-800 €/an) couvre les obligations sans coût exorbitant.

Erreurs fréquentes en garage

Photos de plaques sur smartphone personnel. Pratique très courante des techniciens. Si le smartphone est privé, il sort du cadre de sécurité de l'entreprise. La photo doit être prise via l'application métier (DVI) qui versionne et chiffre la donnée.

Newsletter envoyée sans opt-in clair. Le consentement marketing doit être explicite, séparé des CGV, et révocable d'un clic. Une case pré-cochée n'est pas un consentement valable.

Conservation indéfinie des données. « On garde tout au cas où » est juridiquement faux et augmente l'exposition en cas de fuite. Mieux vaut une politique stricte qui purge les contacts inactifs après 3 ans.

Pas de DPA avec l'éditeur du logiciel. Sans DPA, le garage est juridiquement responsable de tous les manquements de son fournisseur. Réclamer ce document est gratuit et essentiel.

Questions fréquentes

Un garage doit-il déclarer son traitement à l'APD ?

Non. Depuis 2018, plus aucune déclaration préalable n'est requise. Le garage doit en revanche tenir son registre des traitements et le présenter sur demande en cas de contrôle.

Que faire en cas de fuite de données (cyberattaque, vol d'ordinateur) ?

Le RGPD impose la notification à l'APD dans les 72 heures si la fuite présente un risque pour les personnes concernées. Pour les fuites significatives, les clients doivent aussi être informés directement. Un plan de réponse à incident préparé en amont divise par 10 le temps de réaction.

Combien coûte un DPO externe pour un garage belge moyen ?

Un DPO externe mutualisé (qui travaille pour plusieurs PME en parallèle) coûte typiquement 300 à 800 € par an pour un garage de moins de 30 salariés. Cela couvre : audit annuel, registre des traitements, point de contact APD, mise à jour de la politique.

Faut-il l'accord du client pour transmettre son dossier à un autre garage ?

Oui. Sauf si une base légale le permet (par exemple un transfert dans le cadre d'une cession d'activité avec information préalable du client). En cas de doute, demander un consentement écrit pour la transmission.

Les photos DVI sont-elles des données personnelles ?

Indirectement, oui. Une photo de plaque, d'intérieur de véhicule personnalisé, ou de pneu sur un véhicule identifié par VIN, est rattachable à une personne (le titulaire). Elles doivent donc être traitées selon le RGPD : durée de conservation, accès limité, suppression à la demande.

Le numéro national peut-il être collecté par un garage ?

Le numéro de Registre national est une donnée hautement sensible. Sa collecte par un garage est admise uniquement si strictement nécessaire (par exemple pour une procédure d'immatriculation WebDIV). Hors ce cas, son utilisation comme identifiant client est disproportionnée et illégale.