Recherche
S'abonner à la newsletter S'abonner au magazine

Géolocalisation d'un véhicule d'entreprise : que dit la loi ?

Publié par le - mis à jour à
Géolocalisation d'un véhicule d'entreprise : que dit la loi ?

La « loi » applicable à la géolocalisation d'un véhicule d'entreprise, c'est le règlement européen RGPD et la loi Informatique et Libertés, tels qu'interprétés par la CNIL ou le comité européen. C'est aussi certaines règles de droit social. Comment s'y retrouver ? Réponse en 5 règles fondamentales.

Je m'abonne
  • Imprimer

Depuis le RGPD, les déclarations CNIL n'existent plus. Mais avant de mettre en oeuvre un dispositif de géolocalisation des salariés, il faut s'assurer que sa finalité est justifiée, et que seules les données strictement nécessaires sont collectées.

Règle n°1 : réfléchir avant d'agir...

Pour la CNIL, géolocaliser pour l'une des raisons suivantes est a priori acceptable :

  • Suivre, justifier et facturer une prestation de transport (par ex. : ambulances, taxis)
  • Assurer la sécurité de l'employé, des marchandises ou des véhicules dont il a la charge, et notamment retrouver le véhicule en cas de vol
  • Localiser des moyens pour des prestations sur des lieux dispersés
  • Suivre le temps de travail, lorsque cela ne peut être réalisé par un autre moyen.
  • Respecter une obligation légale ou réglementaire imposant la mise en oeuvre d'un dispositif de géolocalisation
  • Contrôler le respect des règles d'utilisation du véhicule.

Cela ne signifie pas que géolocaliser pour une raison qui ne figure pas dans cette liste est impossible. Mais en cas de contrôle CNIL, l'employeur devra être en mesure de justifier sa démarche. En clair, sauf obligation légale, il ne faut pas recueillir de données qui ne sont pas strictement nécessaire à un besoin justifié et légitime de l'employeur.

Règle n°2 : informer les salariés

AVANT la mise en oeuvre :

Le code du travail (Art. L1223 et L12224) impose une information du salarié préalablement à la mise en oeuvre de tout dispositif technique l'évaluation professionnelle, ce qui recouvre à l'évidence un dispositif de géolocalisation. Si l'entreprise est dotée d'un CSE (Comité social et économique), celui-ci doit être informé du dispositif de géolocalisation des véhicules avant toute mise en oeuvre (Art. 3212-38 Code du travail).

PENDANT la mise en oeuvre :

Le RGPD impose que chaque salarié soit informé des modalités du procédé de géolocalisation. Le contenu de cette information est très détaillé : finalité de la géolocalisation, base légale (par ex. une obligation légale, ou l'intérêt légitime de l'employeur), destinataires des données, durée de conservation des données, éventuel transfert hors UE, liste des droits, etc.

Cette information peut être fournie sur tout support : par exemple affichage dans les locaux, politique de protection des données disponible sur intranet, ou encore contrat de travail. L'absence ou le caractère incomplet de cette information obligatoire est sévèrement sanctionné par la CNIL en cas de contrôle.

Règle n°3 : conserver les données, mais pas trop !

L'effacement des données personnelles après leur durée utile, appelé « droit à l'oubli », est une règle fondamentale inscrite dans le RGPD.

S'agissant des données de géolocalisation, la CNIL recommande de ne pas les conserver plus de deux mois, avec deux exceptions :

- un an lorsqu'elles sont utilisées pour optimiser les tournées, ou si c'est le seul moyen de rapporter la preuve des interventions effectuées,

- cinq ans lorsqu'elles sont utilisées pour le suivi du temps de travail.

Là encore, il n'est pas interdit à l'employeur de choisir des durées plus longues, mais elles devront alors être justifiées par un contexte particulier.

Règle n°4 : sécuriser l'accès aux données de géolocalisation

Les données de géolocalisation étant potentiellement très intrusives de la vie privée, elles ne doivent pas pouvoir être accédées par des tiers non autorisées.

Si elles sont accessibles en mode SaaS sur un site web, attention donc à la sécurité des mots de passe des utilisateurs habilités.

Enfin, l'employeur ne doit pas oublier que même s'il utilise un système fourni par un prestataire tiers pour équiper les véhicules et superviser la géolocalisation, c'est lui qui reste responsable du traitement au sens du RGPD, ce qui signifie qu'il sera sanctionné en cas de faille de sécurité chez le prestataire.

En pratique :

  • Il faut signer avec le prestataire des clauses contractuelles imposées par le RGPD (souvent appelées DPA pour Data Processing Agreement)
  • Il faut vérifier les garanties fournies par le prestataire en matière de sécurité : existence de certifications notamment.

Par ailleurs, si le prestataire a des serveurs localisés hors UE, il faut mettre en oeuvre un des mécanismes prévus par le RGPD : clauses contractuelles types par exemple.

Règle n°5 : documenter

La gestion par une entreprise des données personnelles est indissociable d'une documentation bien tenue, c'est la première chose que demanderont à voir les auditeurs de la CNIL en cas de contrôle.

Le traitement de géolocalisation doit donc être inscrit au « registre des traitements » que tout employeur est tenu de mettre en oeuvre pour l'ensemble de ses traitements de données personnelles.

De plus, et compte tenu de la sensibilité particulière du traitement de géolocalisation, il faut documenter et étayer les choix effectués : la finalité du traitement, sa base légale, les durées de conservation, surtout si elles sont différentes de celles recommandées par la CNIL.

Pour aller plus loin

Isabelle Renard, riche d'une expérience de plus de 20 ans dans l'industrie et avocat depuis 1999, elle accompagne au quotidien les entreprises dans les problématiques juridiques liées à l'utilisation des technologies et à la transformation digitale.


 
Je m'abonne

NEWSLETTER | Abonnez-vous pour recevoir nos meilleurs articles

Chef d'Entreprise Newsletter

Artisans Newsletter

Commerce Newsletter

Event

Event

Event

Les Podcasts de Chef d'Entreprise

Lifestyle Chef d'Entreprise

Artisans Offres Commerciales

Chef d'Entreprise Offres Commerciales

Commerce Offres Commerciales

Good News by Netmedia Group

La rédaction vous recommande

Retour haut de page