Dans quelles conditions l'employeur peut installer un GPS sur un véhicule de société ?

Réponse courte

L'installation d'un dispositif GPS sur un véhicule de société nécessite le respect de conditions strictes : finalité légitime et proportionnée, information préalable des salariés, consultation obligatoire de la délégation du personnel, et tenue d'un registre des traitements conforme au RGPD. Depuis mai 2018, aucune autorisation préalable de la CNPD n'est requise, mais l'employeur assume la pleine responsabilité de la conformité.

La surveillance continue est interdite et le dispositif doit respecter un équilibre entre les intérêts légitimes de l'entreprise et la protection de la vie privée des salariés. Les données doivent être conservées maximum 2 mois en principe, et 3 ans uniquement en cas d'obligation légale spécifique.

Définition

La géolocalisation par GPS constitue un dispositif technique permettant de localiser et suivre un véhicule en temps réel ou différé grâce au système de positionnement global par satellite. Ce système représente un traitement de données à caractère personnel au sens du RGPD dès lors qu'il permet d'identifier directement ou indirectement un salarié.

Ce dispositif est soumis aux dispositions du Code du travail luxembourgeois (articles L.261-1 et L.414-9) et au RGPD, nécessitant des garanties spécifiques pour protéger les droits fondamentaux des salariés, notamment leur droit au respect de la vie privée sur le lieu de travail.

Questions fréquentes

Combien de temps peut-on conserver les données GPS des véhicules de société ?

Les données GPS doivent être conservées maximum 2 mois en principe. Une conservation de 3 ans n'est possible qu'en cas d'obligation légale spécifique, comme pour le transport de marchandises dangereuses.

L'employeur peut-il surveiller en permanence ses salariés avec un GPS ?

Non, la surveillance continue est strictement interdite. Le dispositif GPS doit respecter un équilibre entre les intérêts légitimes de l'entreprise et la protection de la vie privée des salariés. La géolocalisation en dehors du temps de travail est également interdite si l'usage privé du véhicule est autorisé.

Que risque l'employeur en cas de non-respect des règles GPS ?

L'employeur s'expose à des amendes administratives de la CNPD pouvant atteindre 20 millions d'euros ou 4% du chiffre d'affaires mondial, des sanctions pénales pour atteinte à la vie privée, et des dommages-intérêts civils en faveur des salariés lésés.

Quelles sont les conditions obligatoires pour installer un GPS sur un véhicule de société au Luxembourg ?

L'installation d'un GPS nécessite une finalité légitime et proportionnée, la consultation obligatoire de la délégation du personnel, l'information écrite préalable des salariés, et la tenue d'un registre des traitements conforme au RGPD. Depuis mai 2018, aucune autorisation préalable de la CNPD n'est requise.

Conditions d’exercice

Conditions cumulatives obligatoires :

Finalité légitime et proportionnée :
- Optimisation des tournées et gestion de flotte
- Sécurité des biens, véhicules et personnes transportées
- Facturation de prestations liées à la localisation ou au temps de trajet
- Respect d'obligations légales (transport de marchandises dangereuses)
- Gestion d'interventions urgentes ou de dépannage
Consultation préalable de la délégation du personnel (article L.414-9 du Code du travail)
Information écrite complète des salariés concernés avant mise en œuvre
Registre des traitements conforme à l'article 30 du RGPD
Analyse d'impact (AIPD) si risque élevé pour les droits des personnes

Interdictions absolues :

Surveillance permanente injustifiée de l'activité des salariés
Géolocalisation en dehors du temps de travail si usage privé autorisé
Utilisation disciplinaire des données sans information préalable
Conservation excessive des données au-delà de la finalité déclarée

Modalités pratiques

Obligations préalables à l'installation :

1. Consultation et information :

Délégation du personnel : consultation obligatoire avec remise d'un dossier complet
Information individuelle : notice détaillée remise à chaque salarié concerné
Délai de réflexion : permettre aux salariés de poser des questions

2. Documentation obligatoire :

Registre des traitements mentionnant finalités, catégories de données, destinataires
Politique interne d'utilisation du système GPS accessible aux salariés
Procédures d'accès aux données et d'exercice des droits
Mesures de sécurité techniques et organisationnelles mises en place

3. Mesures techniques :

Désactivation automatique hors temps de travail si usage privé autorisé
Limitation de la fréquence de localisation au strict nécessaire
Accès restreint aux données par identification et mot de passe sécurisés
Traçabilité des accès et consultations des données
Chiffrement des données sensibles et sauvegardes sécurisées

Contenu minimum de l'information aux salariés :

Finalités précises du dispositif GPS et justification de la nécessité
Base légale : généralement intérêts légitimes de l'employeur (article 6.1.f RGPD)
Données collectées : coordonnées GPS, horodatage, vitesse, itinéraires
Durée de conservation : 2 mois maximum, 3 ans si obligation légale
Destinataires : personnes habilitées dans l'entreprise, sous-traitants éventuels
Droits d'accès, rectification, opposition, effacement et portabilité
Contact du délégué à la protection des données (DPO) s'il y en a un

Pratiques et recommandations

Pour une installation conforme :

Évaluer la nécessité réelle vs. moyens alternatifs moins intrusifs
Choisir des systèmes permettant la désactivation manuelle ou automatique
Limiter la précision géographique au strict nécessaire pour la finalité
Former systématiquement les utilisateurs sur leurs droits et obligations
Tester le système avant déploiement avec un groupe pilote

Gestion opérationnelle :

Contrôle humain systématique avant toute décision basée sur les données GPS
Procédures écrites d'accès aux données et de traitement des demandes
Audit périodique du respect des finalités et des durées de conservation
Mise à jour régulière de la documentation et des notices d'information
Veille juridique sur l'évolution de la réglementation

En cas de sous-traitance technique :

Contrat conforme à l'article 28 du RGPD avec le prestataire
Vérification des garanties de sécurité et de localisation des serveurs
Clause de retour ou destruction des données en fin de contrat
Audit régulier du sous-traitant et de ses pratiques
Notification rapide des incidents de sécurité

Cadre juridique

Code du travail luxembourgeois :

Article L.261-1 : protection de la vie privée au travail et surveillance
Article L.414-9 : consultation obligatoire de la délégation du personnel
Article L.241-1 : principe de non-discrimination entre salariés
Article L.261-2 : interdiction de la surveillance permanente

Règlement (UE) 2016/679 (RGPD) :

Article 5 : principes de licéité, loyauté, transparence, minimisation des données
Article 6 : bases légales du traitement (intérêts légitimes généralement)
Article 30 : registre des activités de traitement obligatoire
Article 35 : analyse d'impact relative à la protection des données

Sanctions encourues :

CNPD : amendes administratives jusqu'à 20 millions € ou 4 % du CA mondial
Pénal : sanctions pour atteinte à la vie privée selon le Code pénal
Civil : dommages-intérêts pour préjudice subi par les salariés

Note

Attention : L'utilisation des données GPS à des fins disciplinaires sans information préalable ou hors finalités déclarées est strictement interdite et expose l'employeur à des sanctions administratives et pénales sévères. La proportionnalité entre les moyens utilisés et les objectifs poursuivis doit être démontrée et documentée. En cas de doute, il est recommandé de consulter la CNPD ou un conseil spécialisé avant installation.