Lignes directrices en matière de géolocalisation des véhicules mis à la disposition des salariés

Les systèmes de géolocalisation des véhicules mis à la disposition des salariés permettent aux employeurs de suivre les déplacements de leurs salariés dans le temps et dans l’espace. La démocratisation de ces systèmes rend leur utilisation de plus en plus fréquente dans le monde de l’entreprise. Cependant, comme l’utilisation de ces dispositifs implique un traitement de données à caractère personnel, il pose certaines questions de protection des données et comporte des risques pour la vie privée des salariés. Ainsi, la géolocalisation expose les salariés au risque d’être suivis en temps réel par leur employeur en dehors des périodes de travail, ou encore au risque que le système de géolocalisation soit utilisé par l’employeur pour des finalités autres que celles pour lesquelles il a été installé.

Afin de limiter ces risques, l’utilisation d’un système de géolocalisation doit impérativement répondre à certaines règles et principes, qui découlent notamment de la législation applicable en matière de protection des données à caractère personnel.

Depuis le 25 mai 2018, le RGPD[1] trouve application. Une des conséquences directes du RGPD est qu’il n’est plus nécessaire de demander l’autorisation préalable de la CNPD pour l’installation d’un dispositif de géolocalisation.

Contrairement à la loi modifiée du 2 août 2002[2] (abrogée), le RGPD ne définit plus la notion de « surveillance ». Néanmoins, la géolocalisation des véhicules mis à la disposition des salariés est toujours à considérer comme un traitement de données à caractère personnel à des fins de surveillance au sens de l’article L. 261-1 du Code du travail.

Bien que l’obligation de demander une autorisation préalable à la CNPD ait disparu, le responsable du traitement (en principe, il s’agit de l’entreprise qui installe un système de géolocalisation dans ses véhicules) est obligé de respecter les principes et obligations qui découlent du RGPD, dont notamment l’obligation de tenir un registre des traitements de données à caractère personnel qui sont effectués sous sa responsabilité[3]. Le traitement de données à caractère personnel découlant de la géolocalisation devra dès lors figurer dans ce registre et inclure toutes les informations exigées par l’article 30 du RGPD.

Sans vouloir prétendre à l’exhaustivité, la CNPD tient à rappeler certains des principes et obligations applicables en matière de géolocalisation des salariés au regard de la législation applicable en matière de protection des données à caractère personnel.

 

[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (ci-après, le « RGPD »).

[2] Loi modifiée du 2 août 2002 relative à la protection des personnes à l'égard du traitement des données à caractère personnel, abrogée par la loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données.

[3] cf article 30 du RGPD. 

Dernière mise à jour