Quelles sont les conditions pour que mon employeur installe un traceur GPS dans ma voiture de société ?

Réponse courte

Pour installer un traceur GPS dans votre voiture de société, votre employeur doit remplir cinq conditions cumulatives : justifier d'une finalité légitime (sécurité, gestion de flotte, facturation), vous informer individuellement par écrit avant l'activation, consulter la délégation du personnel, réaliser une analyse d'impact si le risque est élevé, et inscrire le traitement dans un registre conforme au RGPD. Aucune autorisation préalable de la CNPD n'est requise depuis mai 2018.

Le traceur ne peut pas servir à une surveillance permanente de votre activité. Si l'usage privé du véhicule est autorisé, le GPS doit être désactivé automatiquement en dehors de vos heures de travail. Les données de localisation sont conservées 2 mois maximum en principe. Toute utilisation des données GPS à des fins disciplinaires sans information préalable est strictement interdite et expose l'employeur à de lourdes sanctions. La possibilité d'installer un GPS est soumise aux mêmes conditions de licéité.

Définition

La géolocalisation par GPS constitue un dispositif technique permettant de localiser et suivre un véhicule en temps réel ou différé grâce au système de positionnement global par satellite. Ce système représente un traitement de données à caractère personnel au sens du RGPD dès lors qu'il permet d'identifier directement ou indirectement un salarié. L'obligation d'information préalable du salarié est une condition sine qua non de licéité.

Ce dispositif est soumis aux dispositions du Code du travail luxembourgeois (RGPD et L.414-9) et au RGPD, nécessitant des garanties spécifiques pour protéger les droits fondamentaux des salariés, notamment leur droit au respect de la vie privée sur le lieu de travail.

Questions fréquentes

Combien de temps peut-on conserver les données GPS des véhicules de société ?

Les données GPS doivent être conservées maximum 2 mois en principe. Une conservation de 3 ans n'est possible qu'en cas d'obligation légale spécifique, comme pour le transport de marchandises dangereuses.

L'employeur peut-il surveiller en permanence ses salariés avec un GPS ?

Non, la surveillance continue est strictement interdite. Le dispositif GPS doit respecter un équilibre entre les intérêts légitimes de l'entreprise et la protection de la vie privée des salariés. La géolocalisation en dehors du temps de travail est également interdite si l'usage privé du véhicule est autorisé.

Que risque l'employeur en cas de non-respect des règles GPS ?

L'employeur s'expose à des amendes administratives de la CNPD pouvant atteindre 20 millions d'euros ou 4% du chiffre d'affaires mondial, des sanctions pénales pour atteinte à la vie privée, et des dommages-intérêts civils en faveur des salariés lésés.

Quelles sont les conditions obligatoires pour installer un GPS sur un véhicule de société au Luxembourg ?

L'installation d'un GPS nécessite une finalité légitime et proportionnée, la consultation obligatoire de la délégation du personnel, l'information écrite préalable des salariés, et la tenue d'un registre des traitements conforme au RGPD. Depuis mai 2018, aucune autorisation préalable de la CNPD n'est requise.

Conditions d’exercice

Conditions cumulatives obligatoires :

Finalité légitime et proportionnée :
- Optimisation des tournées et gestion de flotte
- Sécurité des biens, véhicules et personnes transportées
- Facturation de prestations liées à la localisation ou au temps de trajet
- Respect d'obligations légales (transport de marchandises dangereuses)
- Gestion d'interventions urgentes ou de dépannage
Consultation préalable de la délégation du personnel (article L.414-9 du Code du travail)
Information écrite complète des salariés concernés avant mise en œuvre
Registre des traitements conforme à l'article 30 du RGPD
Analyse d'impact (AIPD) si risque élevé pour les droits des personnes

Interdictions absolues :

Surveillance permanente injustifiée de l'activité des salariés
Géolocalisation en dehors du temps de travail si usage privé autorisé
Utilisation disciplinaire des données sans information préalable
Conservation excessive des données au-delà de la finalité déclarée

Modalités pratiques

Obligations préalables à l'installation :

1. Consultation et information :

Délégation du personnel : consultation obligatoire avec remise d'un dossier complet
Information individuelle : notice détaillée remise à chaque salarié concerné
Délai de réflexion : permettre aux salariés de poser des questions

2. Documentation obligatoire :

Registre des traitements mentionnant finalités, catégories de données, destinataires
Politique interne d'utilisation du système GPS accessible aux salariés
Procédures d'accès aux données et d'exercice des droits
Mesures de sécurité techniques et organisationnelles mises en place

3. Mesures techniques :

Désactivation automatique hors temps de travail si usage privé autorisé
Limitation de la fréquence de localisation au strict nécessaire
Accès restreint aux données par identification et mot de passe sécurisés
Traçabilité des accès et consultations des données
Chiffrement des données sensibles et sauvegardes sécurisées

Contenu minimum de l'information aux salariés :

Finalités précises du dispositif GPS et justification de la nécessité
Base légale : généralement intérêts légitimes de l'employeur (article 6.1.f RGPD)
Données collectées : coordonnées GPS, horodatage, vitesse, itinéraires
Durée de conservation : 2 mois maximum, 3 ans si obligation légale
Destinataires : personnes habilitées dans l'entreprise, sous-traitants éventuels
Droits d'accès, rectification, opposition, effacement et portabilité
Contact du délégué à la protection des données (DPO) s'il y en a un

Pratiques et recommandations

Pour une installation conforme :

Évaluer la nécessité réelle vs. moyens alternatifs moins intrusifs
Choisir des systèmes permettant la désactivation manuelle ou automatique
Limiter la précision géographique au strict nécessaire pour la finalité
Former systématiquement les utilisateurs sur leurs droits et obligations
Tester le système avant déploiement avec un groupe pilote

Gestion opérationnelle :

Contrôle humain systématique avant toute décision basée sur les données GPS
Procédures écrites d'accès aux données et de traitement des demandes
Audit périodique du respect des finalités et des durées de conservation
Mise à jour régulière de la documentation et des notices d'information
Veille juridique sur l'évolution de la réglementation

En cas de sous-traitance technique :

Contrat conforme à l'article 28 du RGPD avec le prestataire
Vérification des garanties de sécurité et de localisation des serveurs
Clause de retour ou destruction des données en fin de contrat
Audit régulier du sous-traitant et de ses pratiques
Notification rapide des incidents de sécurité

Cadre juridique

Le cadre juridique applicable repose sur les textes suivants.

Référence	Objet
RGPD (Règlement UE 2016/679)	Protection de la vie privée au travail et surveillance
Art. L.414-9 Code du travail	Consultation obligatoire de la délégation du personnel
Art. L.241-1 Code du travail	Principe de non-discrimination entre salariés
Art. L.261-2 Code du travail	Interdiction de la surveillance permanente
Art. 5 RGPD	Principes de licéité, loyauté, transparence, minimisation des données
Art. 6 RGPD	Bases légales du traitement (intérêts légitimes)
Art. 30 RGPD	Registre des activités de traitement obligatoire
Art. 35 RGPD	Analyse d'impact relative à la protection des données
CNPD	Amendes administratives jusqu'à 20 millions EUR ou 4 % du CA mondial

Note

Attention : L'utilisation des données GPS à des fins disciplinaires sans information préalable ou hors finalités déclarées est strictement interdite et expose l'employeur à des sanctions administratives et pénales sévères. La proportionnalité entre les moyens utilisés et les objectifs poursuivis doit être démontrée et documentée. En cas de doute, il est recommandé de consulter la CNPD ou un conseil spécialisé avant installation.