← Article précédent
Télécharger en PDF
Article suivant →

Mon employeur peut-il installer un GPS dans ma voiture de société ?

Réponse courte

Oui, votre employeur peut installer un GPS dans votre voiture de société, mais uniquement en respectant des conditions strictes. Il doit avoir une raison légitime (gestion de flotte, sécurité, facturation), vous informer par écrit avant l'activation, et consulter la délégation du personnel. Depuis mai 2018, aucune autorisation de la CNPD n'est nécessaire, mais l'employeur assume l'entière responsabilité de la conformité au RGPD. Les conditions précises d'installation d'un traceur GPS détaillent les cinq étapes obligatoires.

Le GPS ne peut pas servir à vous surveiller en permanence ni à suivre vos déplacements hors temps de travail si l'usage privé du véhicule est autorisé. Les données de localisation doivent être conservées 2 mois maximum en principe, et l'accès doit être limité aux seules personnes habilitées. En cas de non-respect de ces règles, l'employeur risque des amendes allant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial.

Définition

La géolocalisation désigne l'installation d'un dispositif permettant de collecter, d'enregistrer et de traiter des données relatives à la position géographique d'un véhicule professionnel. Ce traitement vise à localiser un véhicule en temps réel ou différé et constitue un traitement de données à caractère personnel dès lors qu'il permet d'identifier directement ou indirectement un salarié.

Au Luxembourg, la géolocalisation dans le cadre professionnel est utilisée pour optimiser la gestion de flotte, assurer la sécurité des biens et des personnes, contrôler l'exécution de missions spécifiques, ou facturer des prestations. Ce dispositif doit respecter les principes de protection des données et de respect de la vie privée des salariés. Les précautions RGPD spécifiques encadrent strictement ce traitement.

Questions fréquentes

Combien de temps l'employeur peut-il conserver les données de géolocalisation ?
La conservation des données de géolocalisation doit être limitée au strict nécessaire : généralement 2 mois maximum, avec un plafond de 3 ans uniquement en cas d'obligation légale spécifique. Les données anciennes doivent être automatiquement anonymisées ou supprimées, et la durée de conservation doit être clairement communiquée aux salariés.
L'employeur peut-il surveiller les déplacements des salariés en dehors du temps de travail ?
Non, la surveillance en dehors du temps de travail est strictement interdite, sauf si l'usage privé du véhicule est totalement exclu. Si le salarié peut utiliser le véhicule à titre privé, le système de géolocalisation doit être désactivé automatiquement hors temps de travail ou permettre au salarié de le désactiver lui-même.
Quelles sanctions risque l'employeur en cas de non-respect des règles de géolocalisation ?
Le non-respect des obligations peut entraîner l'interdiction du dispositif par la CNPD, des sanctions administratives pouvant atteindre 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial, ainsi que des condamnations judiciaires pour violation de la vie privée. L'employeur engage sa responsabilité civile et pénale en cas de traitement illicite des données personnelles.
Quelles sont les conditions légales pour installer un système de géolocalisation dans les véhicules professionnels au Luxembourg ?
L'employeur peut équiper les véhicules professionnels d'un système de géolocalisation à condition de respecter des conditions strictes : avoir une finalité légitime et proportionnée (sécurité, facturation, gestion d'interventions), informer préalablement les salariés par écrit, consulter obligatoirement la délégation du personnel, et tenir un registre des traitements conforme au RGPD. Aucune autorisation préalable de la CNPD n'est requise depuis mai 2018.

Conditions d’exercice

Conditions de licéité (article 6 RGPD) : L'employeur ne peut recourir à la géolocalisation que si la finalité poursuivie est légitime, déterminée et proportionnée au regard des droits et libertés des salariés. Les finalités admises incluent notamment :

  • Sécurité des véhicules, des marchandises ou des personnes transportées
  • Facturation de prestations dépendant du temps ou du lieu d'intervention
  • Gestion d'interventions urgentes ou justification d'un itinéraire
  • Optimisation des tournées et de la logistique
  • Respect d'obligations légales (transport de marchandises dangereuses)

Interdictions et limites :

  • Surveillance permanente de l'activité des salariés non justifiée
  • Contrôle en dehors du temps de travail (sauf véhicule exclusivement professionnel)
  • Utilisation pour d'autres finalités que celles déclarées
  • Conservation excessive des données au-delà de la finalité

Modalités pratiques

Obligations préalables à la mise en place :

  1. Analyse d'impact (AIPD) : Obligatoire si le traitement présente un risque élevé pour les droits des personnes
  2. Consultation de la délégation du personnel (article L.414-9 du Code du travail)
  3. Information individuelle écrite de chaque salarié concerné
  4. Registre des traitements conforme à l'article 30 du RGPD
  5. Politique interne documentée et accessible

Contenu de l'information aux salariés :

  • Finalités précises du dispositif de géolocalisation
  • Base légale du traitement (intérêts légitimes généralement)
  • Données collectées : positions, heures, itinéraires
  • Durée de conservation : généralement 2 mois maximum
  • Destinataires des données et accès restreint
  • Droits d'accès, rectification, opposition et effacement
  • Modalités d'exercice des droits auprès du DPO/employeur

Mesures techniques et organisationnelles :

  • Limitation de la fréquence de localisation au strict nécessaire
  • Accès restreint aux données par les seules personnes habilitées
  • Traçabilité des accès et des consultations
  • Sécurisation des données contre les accès non autorisés
  • Désactivation automatique hors temps de travail si usage privé autorisé

Pratiques et recommandations

Pour une mise en œuvre conforme :

  • Privilégier des dispositifs permettant la désactivation lors d'usage privé du véhicule
  • Limiter la précision de localisation au strict nécessaire (pas de géolocalisation au mètre près)
  • Documenter la nécessité du recours à la géolocalisation vs. alternatives moins intrusives
  • Former les personnes ayant accès aux données sur leurs obligations
  • Mettre en place un contrôle humain systématique avant toute décision impactant les salariés

Gestion des données :

  • Conservation limitée : 2 mois en principe, 3 ans maximum si obligation légale
  • Anonymisation ou suppression automatique des données anciennes
  • Séparation des données selon les finalités (sécurité vs. facturation)
  • Pseudonymisation lorsque c'est techniquement possible
  • Sauvegarde sécurisée et chiffrement des données sensibles

En cas de sous-traitance :

  • Contrat conforme à l'article 28 du RGPD avec le prestataire technique
  • Garanties de sécurité et de confidentialité
  • Limitation de l'accès aux données par le sous-traitant
  • Audit régulier du respect des obligations contractuelles
  • Notification des violations de données dans les 72 heures

Cadre juridique

Le cadre juridique applicable repose sur les textes suivants.

Référence Objet
RGPD (Règlement UE 2016/679) Surveillance au travail et protection de la vie privée
Art. L.414-9 Code du travail Consultation obligatoire de la délégation du personnel
Art. L.241-1 Code du travail Principe de non-discrimination
Loi du 1er août 2018 Protection des données personnelles
Règlement (UE) 2016/679 (RGPD) Principes de licéité, loyauté, transparence, minimisation, bases légales, registre, analyse d'impact
Lignes directrices CNPD Géolocalisation des véhicules (2021, mis à jour 2023)

Note

L'employeur doit impérativement documenter la nécessité du recours à la géolocalisation et privilégier des solutions moins intrusives lorsque cela est possible. L'information et la consultation des salariés et de leur délégation sont obligatoires. Le non-respect de ces obligations peut entraîner l'interdiction du dispositif par la CNPD, des sanctions administratives sévères, ou des condamnations judiciaires pour violation de la vie privée.

Important : Depuis le RGPD (mai 2018), aucune autorisation préalable de la CNPD n'est requise, mais la responsabilité de conformité incombe entièrement à l'employeur.

Source : – IA/RH spécialisée en droit du travail au Luxembourg. Dernière mise à jour : 04.04.2026.

Les contenus ne remplacent pas une consultation juridique et doivent être validés par un professionnel du droit.

Pixie vous propose aussi...