← Article précédent
Télécharger en PDF
Article suivant →

Quelles precautions l'entreprise doit prendre pour respecter le RGPD lors de l'usage de GPS dans un vehicule de societe ?

Réponse courte

Pour respecter la reglementation lors de l'usage de GPS, l'employeur doit definir une finalite precise et legitime, demontrer la stricte necessite du dispositif et s'assurer qu'aucun moyen moins intrusif n'est possible. La geolocalisation ne doit pas servir a une surveillance generalisee et la collecte des donnees doit respecter les principes de proportionnalite et de minimisation imposes par le RGPD (Reglement UE 2016/679). Les conditions generales d'installation d'un GPS precedent ces precautions.

L'employeur doit informer individuellement et par ecrit chaque salarie concerne, informer prealablement la delegation du personnel conformement a l'art. L.261-1 du Code du travail, realiser une analyse d'impact si necessaire, limiter la conservation des donnees a la duree strictement necessaire et documenter le traitement dans le registre des activites. La delegation du personnel dispose d'un delai de 15 jours pour saisir la CNPD d'une demande d'avis, avec effet suspensif.

Définition

La geolocalisation par GPS en entreprise consiste a equiper des vehicules de systemes permettant leur localisation en temps reel ou differe. Au Luxembourg, ce dispositif constitue un traitement de donnees a caractere personnel des lors qu'il permet d'identifier un salarie. Il est soumis au Reglement UE 2016/679 (RGPD), a la loi du 1er aout 2018 et a l'art. L.261-1 du Code du travail qui encadre specifiquement la surveillance des salaries.

Questions fréquentes

Combien de temps l'employeur peut-il conserver les données GPS des salariés ?
Les données GPS doivent être conservées pour une durée strictement nécessaire à la finalité poursuivie, généralement limitée à quelques mois, sauf obligation légale contraire. La durée de conservation doit être précisée dans l'information remise aux salariés et respecter le principe de minimisation des données du RGPD.
L'employeur doit-il réaliser une analyse d'impact RGPD pour installer un GPS ?
Oui, une analyse d'impact relative à la protection des données (AIPD) doit être réalisée si le traitement de géolocalisation est susceptible d'engendrer un risque élevé pour les droits et libertés des salariés. Cette analyse doit être documentée et conservée pour démontrer la conformité en cas de contrôle par la CNPD.
Peut-on utiliser le GPS pour surveiller les salariés en dehors du temps de travail ?
Non, les dispositifs GPS ne doivent pas permettre la localisation en dehors du temps de travail, sauf justification particulière, proportionnée et documentée. L'utilisation du GPS à des fins de contrôle permanent ou de surveillance généralisée du salarié est interdite par le RGPD.
Quelles sont les conditions légales pour utiliser un GPS dans un véhicule de société au Luxembourg ?
L'utilisation d'un GPS doit reposer sur une finalité déterminée, explicite et légitime (sécurité, gestion du temps de travail, protection des biens). L'employeur doit démontrer que la géolocalisation est strictement nécessaire et qu'aucun moyen moins intrusif n'existe. Une consultation préalable de la délégation du personnel et une information écrite individuelle de chaque salarié sont obligatoires.

Conditions d’exercice

La mise en oeuvre d'un dispositif GPS doit respecter des conditions cumulatives strictes.

Condition Detail
Finalite legitime Securite des salaries, gestion de flotte, optimisation des tournees, protection des biens
Base juridique valide Art. 6 RGPD : interet legitime (6.1.f), execution du contrat (6.1.b) ou obligation legale (6.1.c)
Information prealable de la delegation Art. L.261-1 al. 2 : description detaillee de la finalite, des modalites et de la duree de conservation
Proportionnalite Le GPS doit etre le seul moyen d'atteindre l'objectif poursuivi
Limitation temporelle Collecte limitee au temps de travail effectif
Droit de saisine CNPD Delegation ou salaries : 15 jours pour demander un avis, effet suspensif d'un mois

Modalités pratiques

Les etapes de mise en conformite doivent etre suivies dans un ordre precis.

Etape Action requise
Analyse d'impact (AIPD) Obligatoire si risque eleve pour les droits des personnes (art. 35 RGPD)
Information collective Notification a la delegation du personnel avec description detaillee (art. L.261-1)
Information individuelle Ecrite, prealable, precisant finalites, duree de conservation, droits d'acces et de rectification (art. 13-14 RGPD)
Delai de saisine CNPD 15 jours apres information ; effet suspensif d'un mois
Parametrage technique Desactivation automatique hors temps de travail, anonymisation en usage prive
Registre des traitements Inscription obligatoire (art. 30 RGPD)
Contrat sous-traitance Encadrement du prestataire de flotte (art. 28 RGPD)

Pratiques et recommandations

Limiter l'acces aux donnees GPS aux seules personnes habilitees et mettre en place des mesures techniques garantissant la confidentialite et le chiffrement des donnees en transit et au repos.

Configurer les dispositifs pour desactiver automatiquement la collecte hors temps de travail, pendant les conges et les arrets maladie, afin de respecter la vie privee du salarie.

Documenter l'ensemble du dispositif (AIPD, informations remises, consultations menees, registre des traitements) pour pouvoir demontrer la conformite en cas de controle par la CNPD.

Former les personnes habilitees a acceder aux donnees GPS et sensibiliser l'ensemble des salaries sur le fonctionnement et les finalites du dispositif.

Controler periodiquement la conformite du dispositif et actualiser la documentation interne en cas d'evolution technique ou juridique. La question du suivi des trajets en temps reel sans accord du salarie illustre les limites de la geolocalisation.

Cadre juridique

Le cadre juridique applicable repose sur les textes suivants.

Reference Objet
Art. L.261-1 Code du travail Surveillance des salaries et traitement de donnees dans les relations de travail
Art. L.261-2 Code du travail Sanctions penales en cas de non-respect (251 a 125 000 EUR)
Reglement UE 2016/679 (RGPD) Protection des donnees a caractere personnel
Art. 6, 13, 14, 28, 30, 35 RGPD Liceite, information, sous-traitance, registre, analyse d'impact
Loi du 1er aout 2018 Protection des personnes a l'egard du traitement des donnees
Lignes directrices CNPD Geolocalisation des salaries et vehicules d'entreprise

Note

La loi du 1er aout 2018 a supprime les anciens cas limitatifs de surveillance, desormais remplaces par les bases legales du RGPD. Le consentement du salarie n'est pas la seule base juridique possible : l'interet legitime de l'employeur ou l'execution du contrat peuvent suffire, sous reserve du respect strict des obligations d'information et de proportionnalite. La charge de la preuve de conformite incombe a l'employeur.

Source : – IA/RH spécialisée en droit du travail au Luxembourg. Dernière mise à jour : 04.04.2026.

Les contenus ne remplacent pas une consultation juridique et doivent être validés par un professionnel du droit.

Pixie vous propose aussi...