L’article 35 du RGPD requiert qu’une « AIPD » soit effectuée « Lorsqu'un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques ».
Les « lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé » aux fins du règlement (UE) 2016/679 » émises par le groupe de travail européen (G29) précisent les 9 critères qu’il y a lieu de prendre en compte pour évaluer si un traitement de données est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, et donc, s’il faut ou non effectuer une « AIPD ». Certains de ces critères pourraient être remplis dans certains cas de système de géolocalisation des véhicules utilisés par les salariés, comme par exemple celui du traitement de « données concernant des personnes vulnérables » (en l’occurrence des salariés, au regard du lien de subordination qui existe vis-à-vis de l’employeur) et le critère de la « surveillance systématique » (ce qui implique d’observer, de surveiller ou de contrôler les employés concernés).
En outre, conformément à l’article 35.4 du RGPD, la CNPD a établi et publié une liste des types d’opérations de traitement de données à caractère personnel pour lesquels une « AIPD » est toujours requise. Celle-ci est disponible à l’adresse suivante : https://cnpd.public.lu/fr/professionnels/obligations/AIPD.html.
La liste de la CNPD cite notamment « les opérations de traitement qui consistent en ou qui comprennent un contrôle régulier et systématique des activités des employés - à condition qu’elles puissent produire des effets juridiques à l’égard des employés ou les affecter de manière aussi significative ».
La CNPD est donc d’avis que la mise en place d’un système de géolocalisation requiert la réalisation d’une AIPD s’il a pour finalité le contrôle régulier et systémique des employés ou s’il a pour conséquence une surveillance systématique de ceux-ci (par exemple, si le dispositif de géolocalisation a pour finalité de suivre le temps de travail des salariés). A l’inverse, si la géolocalisation a pour finalité l’optimisation du processus de travail, sans que cela n’affecte les employés concernés, une AIPD ne sera pas nécessairement obligatoire. La nécessité ou non de réaliser une AIPD dépendra donc des finalités poursuivies par l’employeur, qu’il doit définir au préalable avec précision, comme indiqué au point 2 ci-dessus.
En cas de réalisation d’une AIPD, la CNPD constate que, dans une grande majorité de cas, les responsables du traitement (à savoir, les employeurs qui décident d’installer un système de géolocalisation dans leurs véhicules de société) ont recours à des prestataires de services afin d’installer ledit système de géolocalisation. Ces prestataires de services fournissent souvent une solution prête à l’emploi, qui comprend l’installation des dispositifs de géolocalisation dans les véhicules, mais également l’hébergement des données récoltées par les dispositifs et une interface informatique permettant au responsable du traitement d’accéder à ces données. Dans la mesure où ces prestataires de services traitent les données à caractère personnel des salariés du responsable du traitement pour le compte de ce dernier, ils sont à considérer comme « sous-traitant » au sens de l’article 4. 8) du RGPD.
La CNPD tient à rappeler le rôle important que doit jouer le sous-traitant dans la réalisation d’une AIPD. En effet, bien que le responsable du traitement reste responsable en dernier ressort de l’obligation de réaliser une AIPD concernant les traitements de données à caractère personnel qu’il décide de mettre en œuvre, le sous-traitant a l’obligation d’aider le responsable du traitement à respecter ses obligations (article 28.3, lettre f) du RGPD).
Ainsi, le sous-traitant a notamment l’obligation de fournir au responsable du traitement toute l’information nécessaire pour que ce dernier puisse respecter ses obligations.
En pratique, cela signifie que même si le responsable du traitement reste en dernier ressort tenu d’effectuer sa propre AIPD pour ce qui concerne la mise en œuvre spécifique de la solution qu’il achète, il peut s’appuyer pour cela sur une AIPD élaborée par le sous-traitant (le prestataire de services) quant à la solution qu’il commercialise. Ce dernier dispose en effet d’une plus grande expertise technique et légale, et de plus d’informations sur la solution qu’il vend.
La CNPD attire particulièrement l’attention des responsables du traitement sur l’importance de régler la question de la réalisation de l’AIPD dans le contrat de sous-traitance qui doit obligatoirement être conclu avec le sous-traitant (voir point 7 ci-dessous).
Enfin, même si un responsable du traitement conclut qu’une analyse d’impact relative à la protection des données n’est pas requise dans son cas, il devra néanmoins mettre en balance ses intérêts légitimes avec les intérêts ou les libertés et droits fondamentaux de la ou des personne(s) géolocalisée(s), c’est-à-dire ses employés (à moins que le dispositif de géolocalisation des véhicules des salariés ne soit imposé à l’employeur par une règle de droit national ou européen), comme indiqué au point 1 ci-dessus. De plus, il est recommandé de documenter cette balance des intérêts, conformément au principe de responsabilisation (article 5.2 du RGPD). La CNPD pourra être amenée, par exemple en cas de contrôle, à demander au responsable du traitement de lui fournir cette documentation.