Les exigences de sécurité s'appliquent aux opérations visées aux titres IV et V, et à l'article 32, sur la génération numérique ou intelligente.

Chacun des intervenants met en œuvre des procédures et dispositions de sécurité spécifiques à ses activités, concernant le personnel, les éléments mentionnés au premier alinéa de l'article 42, ainsi que les locaux, conformes aux exigences de sécurité définies par le règlement (UE) n° 165/2014 susvisé, l'annexe I B et le règlement d'exécution (UE) 2016/799 susvisé.
Les procédures et dispositions de sécurité incluent au moins les points suivants :
1° Cartes d'atelier :
Des procédures décrivent les dispositions de gestion, de protection et d'utilisation des cartes d'atelier ;
2° Traitement et protection des données :
Conformément à l'article 7 du règlement (UE) n° 165/2014 susvisé, la confidentialité des données personnelles est assurée lors des opérations réglementaires prévues par le présent arrêté ;
Les entreprises de transport dont des données ont été téléchargées et sauvegardées sont averties, et leurs données leur sont transmises par voie électronique sécurisée.
3° Gestion des incidents de sécurité :
Des procédures de gestion des incidents de sécurité sont mises en œuvre afin de répondre sans délai à toute atteinte à la sécurité des éléments mentionnés au premier alinéa de l'article 42.
Elles prévoient des mesures organisationnelles de traitement des incidents, lesquels sont immédiatement transmis aux autorités pilote et locale chargées de la métrologie légale. Les mesures prises en réponse leur sont également transmises dans les meilleurs délais ;
4° Etablissement de la liste des fonctions et entités pouvant accéder aux zones sensibles prévues à l'article 44 :
Les procédures et dispositions de sécurité sont revues par le RTS à chaque évolution susceptible d'affecter les exigences de sécurité du présent titre. Les comptes rendus de ces revues sont tenus à la disposition de l'autorité pilote chargée de la métrologie légale lors de ses visites et audits.

Un accord de confidentialité est établi et signé entre les personnels et la direction de l'intervenant concernant les éléments mentionnés au premier alinéa de l'article 42.

Le RTS ou le CRTS est chargé de la sécurité des VU activées, des cartes d'atelier, des données téléchargées issues des VU et des cartes d'atelier, des dispositifs de téléchargement et de stockage de ces données, des dispositifs de scellement d'installation et des moyens destinés à l'apposition de la marque d'identification.
Le RTS ou le CRTS récupère les cartes d'atelier périmées ou présentant un défaut de qualité ou un dysfonctionnement, ainsi que celles des techniciens ayant quitté l'intervenant ou ayant cessé leur activité réglementée. Il récupère également toutes les cartes d'atelier d'un intervenant ou d'un atelier ayant cessé son activité, de l'intervenant dont l'agrément est retiré, ou lorsque l'atelier change d'intervenant. Il les stocke, informe l'autorité nationale chargée de la délivrance des cartes et les lui expédie sans délai. Le RTS ou le CRTS récupère et stocke les cartes des techniciens et ateliers ayant fait l'objet d'une mesure de suspension ainsi que de l'intervenant dont l'agrément est suspendu.
Les cartes d'atelier ne quittent pas les locaux de l'intervenant sauf pour :

- des essais sur véhicule dans le cadre de l'installation suivie de l'inspection de l'installation, ou de l'inspection périodique, lorsque ces essais ne peuvent pas être réalisés dans les locaux de l'intervenant ;
- les techniciens dans la situation visée au troisième alinéa de l'article 43.

Un technicien ne peut disposer que d'une seule carte d'atelier et ne peut être employé que par un unique intervenant agréé. En outre, il ne peut pas être détenteur d'une carte de conducteur lorsqu'il est détenteur d'une carte d'atelier.
Chaque technicien s'engage à ne jamais mettre sa carte à la disposition d'une autre personne, à ne jamais communiquer son code secret, y compris au RTS ou au CRTS, à signaler immédiatement au RTS ou au CRTS dont il dépend la perte, le vol ou le dysfonctionnement de sa carte, la divulgation du code secret ou toute atteinte à la sécurité de la carte. De même, il remet au RTS ou au CRTS sa carte d'atelier périmée ou présentant un dysfonctionnement, ainsi que sa carte en cours de validité lorsqu'il quitte l'intervenant, cesse son activité réglementée ou fait l'objet d'une mesure de suspension.
Lorsque l'intervenant exploite plusieurs ateliers, le technicien peut intervenir dans plusieurs ateliers autres que l'atelier auquel il est rattaché.
Un technicien est responsable de toutes les activités exercées avec sa carte, même dans le cas où certaines actions sont réalisées par un technicien en formation sous sa responsabilité.

L'intervenant définit dans ses locaux des zones sensibles dans lesquelles sont réalisées :

- les opérations réglementaires prévues aux titres IV et V, et à l'article 32, et toute autre opération mettant en œuvre une carte d'atelier ;
- le stockage des éléments mentionnés au premier alinéa de l'article 42.

L'accès à ces zones sensibles est restreint aux :

- personnes sous la responsabilité de l'intervenant ;
- prestataires chargés du contrôle des moyens définis au chapitre 4 de l'annexe II ;
- organisme chargé de l'accréditation mentionnée à l'article 36 ;
- autorités chargées de la métrologie légale ;
- autorités chargées du contrôle de la réglementation relative aux transports routiers de marchandises et de personnes.

Dans la zone accessible aux conducteurs, il est procédé à l'affichage, soit de la décision d'agrément, soit de la portée de l'agrément et de son numéro ainsi que des adresses de l'autorité pilote et de l'autorité locale chargées de la métrologie légale.

Conformément aux dispositions du règlement (UE) n° 165/2014 susvisé, de l'annexe I B et du règlement d'exécution (UE) 2016/799 susvisé, le téléchargement de données est réalisé par un organisme agréé. Ce téléchargement est obligatoirement réalisé lors de la dépose d'une VU ou sur demande d'une entreprise de transport routier. Lors de la dépose de la VU, le téléchargement peut être limité aux données postérieures à la dernière opération de téléchargement de données mentionnée par cette VU.
L'organisme agréé s'assure que le demandeur des données contenues dans une VU en est le propriétaire ou qu'il est autorisé par ce dernier à réaliser cette démarche. La transmission des données est réalisée conformément aux dispositions du 2° de l'article 40.
L'organisme agréé vérifie que les données téléchargées comportent bien une signature numérique valide des données, prévue par le règlement (UE) n° 165/2014 susvisé, l'annexe I B ou l'annexe I C.
Un certificat de téléchargement est établi par l'organisme agréé. Si ce téléchargement ne peut pas être réalisé du fait du dysfonctionnement de la VU, l'organisme agréé établit un certificat d'impossibilité de téléchargement.
Un certificat est remis à chaque propriétaire des données identifié lors du téléchargement, ou à l'exploitant du véhicule dans le cas d'une impossibilité de téléchargement. Le certificat de téléchargement ou d'impossibilité de téléchargement est conservé, même en cas d'impossibilité d'identification du propriétaire des données.
Le contenu des certificats de téléchargement ou d'impossibilité de téléchargement est défini par décision du ministre chargé de l'industrie.
Sauf cas de réquisition par les forces de l'ordre, aucun certificat d'impossibilité de téléchargement n'est établi si l'organisme agréé n'a pas procédé lui-même à la dépose de la VU.
Les organismes agréés peuvent procéder à la destruction des données téléchargées après leur restitution à chaque propriétaire identifié, ou à défaut de restitution, au plus tôt un an après leur téléchargement.
Les téléchargements des données et la délivrance du certificat d'impossibilité de téléchargement ne peuvent pas être limités à certaines marques commerciales de VU.

Lorsque les données ont pu être restituées à leurs propriétaires lors d'une dépose de VU, celle-ci peut être cédée par son propriétaire ou par l'exploitant du véhicule avec son accord écrit :

- à un organisme agréé visé à l'article 31, pour sa mise en destruction ou pour son réemploi dans un véhicule ; ou
- au fabricant ou son mandataire exclusif visé à l'article 32.

Lorsque les données n'ont pas pu être restituées à leurs propriétaires du fait de la non-identification de chaque propriétaire de données ou d'un dysfonctionnement de la VU, celle-ci est restituée à son propriétaire ou à l'exploitant du véhicule.

L'utilisation des cartes d'atelier pour des opérations autres que celles prévues aux titres IV et V ainsi qu'à l'article 32 est déclarée par le constructeur de véhicules ou l'organisme agréés à l'autorité pilote chargée de la métrologie légale, et respecte les exigences de sécurité du présent titre.
En outre, l'activité de gestion de données nécessite d'être autorisée par l'entreprise de transport routier à laquelle appartiennent les données. Elle ne compromet pas la confidentialité des données des autres entreprises.