En plus des principes énoncés dans les présentes lignes directrices, l’entièreté des dispositions du RGPD restent, bien entendu, applicables au traitement de données à caractère personnel découlant de l’utilisation d’un dispositif de géolocalisation.
Ainsi, la CNPD tient notamment à rappeler que si le responsable du traitement a recours à un prestataire de services pour installer et gérer le dispositif de géolocalisation, ce prestataire de services sera à considérer comme un sous-traitant au sens de l’article 4. 8) du RGPD, si ce dernier traite des données à caractère personnel pour le compte du responsable du traitement. Ce sera par exemple le cas si les données de géolocalisation sont envoyées sur les serveurs du prestataire, et accessibles ensuite par le responsable du traitement via une plateforme mise à la disposition de celui-ci par le prestataire de service. Dans ce cas, un contrat de sous-traitance répondant aux critères de l’article 28 du RGPD devra être conclu entre le responsable du traitement et le sous-traitant.
Par ailleurs, la CNPD souhaite attirer l’attention des responsables du traitement et des sous-traitants sur l’obligation découlant de l’article 32 du RGPD de mettre en place des mesures techniques et organisationnelles adéquates afin de garantir la sécurité et la confidentialité des données faisant l’objet d’un traitement. Cela signifie notamment que :
- L’outil informatique lié au système de géolocalisation doit être paramétré de manière à ne collecter et ne sauvegarder que les données strictement nécessaires à l’accomplissement des finalités poursuivies, même si cet outil permettrait en pratique de collecter et de sauvegarder plus de données. La CNPD rappelle que, même lorsqu’il utilise la solution fournie par un prestataire de services, le responsable du traitement reste responsable en dernier ressort de la manière dont est paramétré le système de géolocalisation et son interface informatique.
- L’accès aux données collectées via le système de géolocalisation doit être limité aux seules personnes qui, dans le cadre de leurs fonctions, ont légitimement besoin d’y avoir accès, au vu des finalités poursuivies. De même, ces personnes ne doivent avoir accès qu’aux données strictement nécessaires dans le cadre de leurs fonctions respectives et au vu des finalités poursuivies. En particulier, l’accès à des données « sensibles », telles que les données fournissant la position de géolocalisation exacte (que ce soit des données consultables « en temps réel » ou « enregistrées » et consultables par la suite) doit être strictement limité selon le principe du « need-to-know ».
- L’accès aux données doit être sécurisé (moyennant, par exemple, un mot de passe fort et un identifiant) et chaque personne ayant accès aux données doit bénéficier d’un compte d’accès individuel. Un journal des accès doit en outre être disponible, de sorte qu’il soit possible de retracer les personnes ayant accédé aux données, ainsi que les données qui ont été consultées par ces personnes, en cas d’abus.
La CNPD souhaite enfin attirer l’attention des responsables du traitement sur l’importance de la question du pays dans lequel sont stockées les données à caractère personnel collectées via le système de géolocalisation, que ce stockage soit réalisé par le responsable du traitement lui-même ou par son sous-traitant.
En effet, conformément aux articles 44 et suivants du RGPD, un transfert de données à caractère personnel vers un pays situé en dehors de l’Espace économique européen (Union européenne, Liechtenstein, Norvège et Islande) (ci-après, un « pays tiers ») ne peut avoir lieu que sous certaines conditions.
Ainsi, sauf lorsque le pays tiers dans lequel sont transférées les données a été considéré par la Commission européenne comme offrant un niveau de protection adéquat (via une « décision d’adéquation »), un transfert dans un pays tiers ne peut en principe être effectué que si des garanties appropriées ont été mises en place. Ces garanties appropriées peuvent par exemple consister en des règles d’entreprise contraignantes conformément à l’article 47 du RGPD ou des clauses types de protection des données adoptées par la Commission Européenne.
Néanmoins, au vu de la décision de la Cour de Justice de l’Union européenne du 16 juillet 2020 dans l’affaire C-311/18, l’utilisation de ces garanties appropriées est à considérer avec prudence, et les récentes recommandations du Comité Européen de Protection des Données (« CEPD ») en matière de transferts de données vers des pays tiers doivent en outre être respectées[1].
Dans la mesure du possible, la CNPD recommande dès lors que le stockage des données à caractère personnel issues d’un système de géolocalisation ait lieu au sein de l’Espace économique européen. En cas de recours aux services d’un sous-traitant, la question du pays de stockage des données devra être discutée et réglée dans le contrat de sous-traitance.
[1] “Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data”, disponibles à l’adresse suivante: https://edpb.europa.eu/sites/edpb/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_en.pdf