Le principe de minimisation des données en matière de géolocalisation implique que ne doivent être traitées que les données qui apparaissent strictement nécessaires pour atteindre la/les finalité(s) poursuivie(s) (« données adéquates, pertinentes et limitées à ce qui est nécessaire ») et que les opérations de traitement ne doivent pas être disproportionnées.
Les systèmes de géolocalisation présentent incontestablement des risques pour la vie privée des salariés sur leur lieu de travail et les intérêts de l’employeur doivent dès lors se concilier avec les droits et libertés des salariés. Il en résulte que la géolocalisation doit être la moins intrusive possible. En outre, un employeur ne doit avoir recours à un dispositif de géolocalisation que lorsqu’il n’existe pas de moyen alternatif moins attentatoire à la vie privée pour atteindre la finalité recherchée.
Au regard des positions prises dans les décisions d’autorisation précédemment adoptées par la CNPD (sous le régime de la loi du 2 août 2002) et au vu de la jurisprudence luxembourgeoise en la matière, la CNPD a dégagé, en termes de proportionnalité, certains principes imposant des conditions et exigences lors de l’utilisation d’un dispositif de géolocalisation des véhicules des salariés. Ceux-ci sont expliqués dans les présentes lignes directrices.
4.1 Interdiction d’une surveillance permanente et interdiction de contrôler les salariés en dehors des heures de travail
Un système de géolocalisation ne doit en principe pas tendre à un contrôle permanent des salariés concernés, alors que ce traitement de données serait considéré comme une « filature » électronique et porterait, de par son caractère intrusif, une atteinte disproportionnée au respect de la vie privée des salariés sur leur lieu de travail.
En outre, l’employeur n’a pas le droit de surveiller le salarié en dehors de ses heures de travail.
Pour cette raison, la CNPD opère une différence entre les véhicules de service géolocalisés qui peuvent être utilisés à des fins privées et ceux qui sont strictement réservés à un usage professionnel. Si le salarié est aussi autorisé à utiliser le véhicule professionnel à des fins privées, l’employeur ne peut pas géolocaliser ledit véhicule de service en dehors des heures de travail. Ainsi, un traçage des salariés en dehors des heures de travail, ce qui inclut les jours de congés (légaux, pour cause de maladie, etc.), les pauses de midi, les trajets entre le domicile et le lieu de travail, les éventuelles visites médicales et les weekends, est interdit.
Dès lors, si le salarié a la possibilité d’utiliser le véhicule à titre privé en dehors des heures de travail, l’employeur doit nécessairement lui offrir la possibilité de désactiver le dispositif de géolocalisation en dehors desdites heures de travail. A cet égard, la CNPD estime qu’il est nécessaire que les salariés aient la mainmise sur l’activation et la désactivation du système de géolocalisation afin que puisse être garanti le respect de leur vie privée. En effet, le fait que l’employeur ait la mainmise sur l’activation et la désactivation du système de géolocalisation serait susceptible de créer une pression psychologique non négligeable pour les salariés, qui ne seraient pas à même de savoir si le système a effectivement été désactivé ou non par l’employeur et pourraient se sentir observés et contrôlés à tout moment.
Par contre, si le véhicule est exclusivement à usage professionnel, la CNPD estime que l’employeur peut décider que le système de géolocalisation reste actif de façon permanente.
4.2 Interdiction de surveiller les performances et/ou comportements des salariés
Les données recueillies par l’employeur ne pourront pas servir à observer les performances et/ou le comportement des salariés en dehors des finalités initiales invoquées et poursuivies par l’installation du dispositif de géolocalisation.
Ainsi, lorsque le responsable du traitement décide d’installer un dispositif de géolocalisation à des fins de protection des biens de l’entreprise pour lutter contre le vol d’un véhicule /ou de son contenu, il ne peut utiliser les données de ce dispositif de géolocalisation, afin de contrôler par exemple les excès de vitesse (sauf obligation légale applicable à l’employeur) ou le temps de trajet utilisé par le salarié entre différents clients ou encore l’évaluation du chemin emprunté par le salarié pour se rendre chez un client, et les utiliser ensuite à des fins disciplinaires.
4.3 Catégories de données à caractère personnel liées à l’utilisation du système de géolocalisation
Conformément à l’article 5.1, c) du RGPD, les données à caractère personnel traitées doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ».
La CNPD estime que les données à caractère personnel suivantes peuvent notamment être traitées par le responsable du traitement dans le cadre de l’utilisation d’un système de géolocalisation, pour autant qu’elles soient nécessaires au regard de la finalité ou des finalités poursuivies:
- le numéro d’immatriculation du véhicule ;
- les données d’identification du conducteur ;
- le numéro d’identification de la carte SIM intégrée dans le module GPS ;
- des données de géolocalisation : positionnement du véhicule (localité et rue), itinéraires empruntés ;
- des données complémentaires associées à l’utilisation du véhicule (dites données annexes à la géolocalisation) : date, heure, kilométrage parcouru, état du véhicule (en route ou à l’arrêt), temps de conduite, vitesse moyenne, temps et nombre de pauses ou arrêts, heures de début et de fin d’activité.
Par contre, la CNPD considère que l’employeur ne peut pas traiter des données liées à d’éventuels excès de vitesse. En effet, la CNPD est d’avis que le traitement de telles données à caractère personnel ne serait en principe pas proportionné au regard des finalités envisageables pour un traitement de données relatives à la mise en place d’un système de géolocalisation, à moins qu’un tel traitement ne résulte d’une obligation légale applicable à l’employeur (cf. section 1 ci-dessus).
4.4 Durée de conservation limitée
Le RGPD dispose que les données à caractère personnel doivent être conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. En ce qui concerne la géolocalisation des véhicules des salariés, la CNPD est d’avis que les durées de conservation suivantes répondent à ce principe :
- les données à caractère personnel obtenues par la géolocalisation peuvent en principe seulement être conservées pendant une période maximale de deux mois ;
- si le dispositif de géolocalisation est installé à des fins de vérification du temps de travail (lorsque c’est le seul moyen possible), les données à caractère personnel obtenues par la géolocalisation qui permettent de vérifier le temps de travail peuvent néanmoins être conservées pendant une durée maximale de trois ans conformément au délai de prescription posé à l’article 2277 alinéa 1er du Code Civil en matière d’action en paiement de rémunérations des salariés. Dans le secteur public, ces données peuvent être conservées pendant une durée maximum de cinq ans ;
- si les données à caractère personnel obtenues par la géolocalisation sont utilisées par le responsable du traitement à des fins de preuve pour la facturation des prestations effectuées pour ses clients, les données nécessaires à une telle facturation peuvent être conservées pour une durée de 1 an, à condition qu’il ne soit pas possible de rapporter la preuve des prestations par d’autres moyens ;
- en cas d’incident, les données peuvent toutefois être conservées au-delà des délais susmentionnés, dans le cadre de la transmission des données aux autorités judiciaires compétentes et aux autorités répressives compétentes pour constater ou pour poursuivre des infractions pénales.
Les données obtenues par la géolocalisation peuvent également être conservées au-delà des durées susmentionnées, si celles-ci ont été préalablement rendues anonymes, c’est-à-dire qu’il n’est plus possible de faire un lien – direct ou indirect – entre ces données et un salarié déterminé.