6. Faut-il effectuer une analyse d’impact relative à la protection des données (« AIPD ») pour l’installation et l’utilisation d’un dispositif de géolocalisation ?

L’article 35 du RGPD requiert qu’une « AIPD » soit effectuée « Lorsqu'un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques ».

Les « Lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé » aux fins du règlement (UE) 2016/679 » émises par le groupe de travail européen (G29) précisent les 9 critères qu’il y a lieu de prendre en compte pour évaluer si un traitement de données est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, et donc, s’il faut ou non effectuer une « AIPD ». Certains de ces critères pourraient être remplis dans le cadre de la mise en place d’un système de géolocalisation des véhicules utilisés par les salariés, comme par exemple celui du traitement de « données concernant des personnes vulnérables » (salariés) et le critère de la « surveillance systématique ».

En outre, conformément à l’article 35.4 du RGPD, la CNPD a établi et publié une liste des types d’opérations de traitement de données à caractère personnel pour lesquels une « AIPD » est toujours requise. Celle-ci est disponible à l’adresse suivante : https://cnpd.public.lu/fr/professionnels/obligations/AIPD.html.

La liste de la CNPD cite notamment « Les opérations de traitement qui consistent en ou qui comprennent un contrôle régulier et systématique des activités des employés - à condition qu’elles puissent produire des effets juridiques à l’égard des employés ou les affecter de manière aussi significative », ou « Les opérations de traitement qui consistent en un suivi systématique de la localisation de personnes physiques ».

La CNPD est donc d’avis que la mise en place d’un système de géolocalisation requiert en principe la réalisation d’une AIPD.

A cet égard, la CNPD constate que, dans une grande majorité de cas, les responsables du traitement (à savoir, les employeurs qui décident d’installer un système de géolocalisation dans leurs véhicules de société) ont recours à des prestataires de services afin d’installer ledit système de géolocalisation. Ces prestataires de services fournissent souvent une solution prête à l’emploi, qui comprend l’installation des dispositifs de géolocalisation dans les véhicules, mais également l’hébergement des données récoltées par les dispositifs et une interface informatique permettant au responsable du traitement d’accéder à ces données. Dans la mesure où ces prestataires de services traitent les données à caractère personnel des salariés du responsable du traitement pour le compte de ce dernier, ils sont à considérer comme « sous-traitant » au sens de l’article 4.  8) du RGPD.

La CNPD tient à rappeler le rôle important que doit jouer le sous-traitant dans la réalisation d’une AIPD. En effet, bien que le responsable du traitement reste responsable en dernier ressort de l’obligation de réaliser une AIPD concernant les traitements de données à caractère personnel qu’il décide de mettre en œuvre, le sous-traitant a l’obligation d’aider le responsable du traitement à respecter ses obligations (article 28.3, lettre f) du RGPD).

Ainsi, le sous-traitant a notamment l’obligation de fournir au responsable du traitement toute l’information nécessaire pour que ce dernier puisse respecter ses obligations.

En pratique, cela signifie que même si le responsable du traitement reste en dernier ressort tenu d’effectuer sa propre AIPD pour ce qui concerne la mise en œuvre spécifique de la solution qu’il achète, il peut s’appuyer pour cela sur une AIPD élaborée par le sous-traitant (le prestataire de services) quant à la solution qu’il commercialise. Ce dernier dispose en effet d’une plus grande expertise technique et légale, et de plus d’informations sur la solution qu’il vend.

La CNPD attire particulièrement l’attention des responsables du traitement sur l’importance de régler la question de la réalisation de l’AIPD dans le contrat de sous-traitance qui doit obligatoirement être conclu avec le sous-traitant (voir point 7. ci-dessous).

Dernière mise à jour