Géolocalisation d'un véhicule d'entreprise : que dit la loi ?
Publié par Isabelle Renard, Cabinet IRenardAvocat le - mis à jour à
La « loi » applicable à la géolocalisation d'un véhicule d'entreprise, c'est le règlement européen RGPD et la loi Informatique et Libertés, tels qu'interprétés par la CNIL ou le comité européen. C'est aussi certaines règles de droit social. Comment s'y retrouver ? Réponse en 5 règles fondamentales.
Depuis le RGPD, les déclarations CNIL n'existent plus. Mais avant de mettre en oeuvre un dispositif de géolocalisation des salariés, il faut s'assurer que sa finalité est justifiée, et que seules les données strictement nécessaires sont collectées.
Règle n°1 : réfléchir avant d'agir...
Pour la CNIL, géolocaliser pour l'une des raisons suivantes est a priori acceptable :
Cela ne signifie pas que géolocaliser pour une raison qui ne figure pas dans cette liste est impossible. Mais en cas de contrôle CNIL, l'employeur devra être en mesure de justifier sa démarche. En clair, sauf obligation légale, il ne faut pas recueillir de données qui ne sont pas strictement nécessaire à un besoin justifié et légitime de l'employeur.
Règle n°2 : informer les salariés
AVANT la mise en oeuvre :
Le code du travail (Art. L1223 et L12224) impose une information du salarié préalablement à la mise en oeuvre de tout dispositif technique l'évaluation professionnelle, ce qui recouvre à l'évidence un dispositif de géolocalisation. Si l'entreprise est dotée d'un CSE (Comité social et économique), celui-ci doit être informé du dispositif de géolocalisation des véhicules avant toute mise en oeuvre (Art. 3212-38 Code du travail).
PENDANT la mise en oeuvre :
Le RGPD impose que chaque salarié soit informé des modalités du procédé de géolocalisation. Le contenu de cette information est très détaillé : finalité de la géolocalisation, base légale (par ex. une obligation légale, ou l'intérêt légitime de l'employeur), destinataires des données, durée de conservation des données, éventuel transfert hors UE, liste des droits, etc.
Cette information peut être fournie sur tout support : par exemple affichage dans les locaux, politique de protection des données disponible sur intranet, ou encore contrat de travail. L'absence ou le caractère incomplet de cette information obligatoire est sévèrement sanctionné par la CNIL en cas de contrôle.
Règle n°3 : conserver les données, mais pas trop !
L'effacement des données personnelles après leur durée utile, appelé « droit à l'oubli », est une règle fondamentale inscrite dans le RGPD.
S'agissant des données de géolocalisation, la CNIL recommande de ne pas les conserver plus de deux mois, avec deux exceptions :
- un an lorsqu'elles sont utilisées pour optimiser les tournées, ou si c'est le seul moyen de rapporter la preuve des interventions effectuées,
- cinq ans lorsqu'elles sont utilisées pour le suivi du temps de travail.
Là encore, il n'est pas interdit à l'employeur de choisir des durées plus longues, mais elles devront alors être justifiées par un contexte particulier.
Règle n°4 : sécuriser l'accès aux données de géolocalisation
Les données de géolocalisation étant potentiellement très intrusives de la vie privée, elles ne doivent pas pouvoir être accédées par des tiers non autorisées.
Si elles sont accessibles en mode SaaS sur un site web, attention donc à la sécurité des mots de passe des utilisateurs habilités.
Enfin, l'employeur ne doit pas oublier que même s'il utilise un système fourni par un prestataire tiers pour équiper les véhicules et superviser la géolocalisation, c'est lui qui reste responsable du traitement au sens du RGPD, ce qui signifie qu'il sera sanctionné en cas de faille de sécurité chez le prestataire.
En pratique :
Par ailleurs, si le prestataire a des serveurs localisés hors UE, il faut mettre en oeuvre un des mécanismes prévus par le RGPD : clauses contractuelles types par exemple.
Règle n°5 : documenter
La gestion par une entreprise des données personnelles est indissociable d'une documentation bien tenue, c'est la première chose que demanderont à voir les auditeurs de la CNIL en cas de contrôle.
Le traitement de géolocalisation doit donc être inscrit au « registre des traitements » que tout employeur est tenu de mettre en oeuvre pour l'ensemble de ses traitements de données personnelles.
De plus, et compte tenu de la sensibilité particulière du traitement de géolocalisation, il faut documenter et étayer les choix effectués : la finalité du traitement, sa base légale, les durées de conservation, surtout si elles sont différentes de celles recommandées par la CNIL.
Pour aller plus loin