Mon employeur peut-il suivre mes trajets en temps réel sans mon accord ?

Réponse courte

Oui, votre employeur peut activer la geolocalisation de votre vehicule sans votre accord explicite, car le consentement n'est pas la seule base legale possible. Il lui suffit de disposer d'une base juridique valide au sens du RGPD : interet legitime de l'entreprise (gestion de flotte, securite), execution du contrat ou obligation legale. Votre accord personnel n'est donc pas obligatoire. Les conditions generales d'installation d'un GPS detaillent les finalites admises.

En revanche, votre employeur doit vous informer par ecrit avant l'activation du dispositif et consulter la delegation du personnel (art. L.261-1). La delegation ou les salaries peuvent saisir la CNPD dans les 15 jours, ce qui suspend le dispositif pendant un mois. Le GPS doit etre desactive hors temps de travail, ne peut pas servir a une surveillance permanente de votre productivite, et les donnees doivent etre conservees deux mois maximum. Sans respect de ces regles, l'employeur risque des amendes de 251 a 125 000 EUR.

Définition

La geolocalisation professionnelle designe tout dispositif technique permettant de localiser en temps reel un vehicule de societe ou un salarie dans le cadre de ses missions. Ce procede constitue un traitement de donnees personnelles soumis simultanement au RGPD (Reglement UE 2016/679) et a l'art. L.261-1 du Code du travail, qui encadre specifiquement la surveillance dans les relations de travail au Luxembourg.

Questions fréquentes

Comment les salariés peuvent-ils contester un dispositif de géolocalisation ?

Les salariés ou leurs représentants peuvent demander un avis à la CNPD dans les 15 jours suivant l'information préalable. Cette demande d'avis suspend automatiquement la mise en œuvre du dispositif de géolocalisation pendant 1 mois, le temps que la CNPD rende son avis sur la conformité du projet.

L'employeur peut-il géolocaliser ses salariés sans leur accord au Luxembourg ?

Oui, depuis la loi du 1er août 2018, l'employeur peut mettre en place une géolocalisation sans l'accord explicite du salarié, mais uniquement sur base juridique RGPD valide (intérêt légitime, exécution du contrat, obligation légale) et dans le respect de l'article L.261-1 du Code du travail. Une information préalable écrite des salariés et de la représentation du personnel reste obligatoire.

Quelles sanctions risque l'employeur en cas de géolocalisation non conforme ?

L'employeur risque des sanctions pénales selon l'article L.261-2 du Code du travail (8 jours à 1 an d'emprisonnement, 251€ à 125 000€ d'amende), des amendes CNPD pouvant aller jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires mondial, et des dommages-intérêts civils pour atteinte à la vie privée.

Quelles sont les conditions obligatoires pour géolocaliser les salariés ?

La géolocalisation doit respecter plusieurs conditions : avoir une base juridique RGPD valide, être proportionnée à l'objectif poursuivi, être limitée au temps de travail effectif, respecter la vie privée des salariés, et faire l'objet d'une information préalable écrite détaillée aux salariés et représentants du personnel avec description de la finalité et des modalités de mise en œuvre.

Conditions d’exercice

L'employeur doit reunir plusieurs conditions cumulatives avant d'activer un dispositif de geolocalisation.

Condition	Detail
Base juridique RGPD	Interet legitime (6.1.f), execution du contrat (6.1.b) ou obligation legale (6.1.c)
Information prealable	Description detaillee de la finalite, des modalites et de la duree de conservation (art. L.261-1 al. 2)
Consultation delegation	Information de la delegation du personnel ou, a defaut, de l'ITM (art. L.261-1)
Proportionnalite	Le dispositif doit etre le seul moyen d'atteindre l'objectif poursuivi
Limitation temporelle	Collecte strictement limitee au temps de travail effectif
Non-surveillance permanente	Interdiction du suivi continu a des fins de controle de productivite individuelle

Modalités pratiques

La procedure de mise en oeuvre comprend des etapes obligatoires et des delais a respecter.

Etape	Obligation
Information collective	Notification detaillee a la delegation du personnel (art. L.261-1 al. 2)
Droit de saisine CNPD	15 jours pour la delegation ou les salaries ; effet suspensif d'un mois (art. L.261-1 al. 4)
Information individuelle	Ecrite, prealable, precisant finalites, base juridique, duree de conservation, droits d'acces et de rectification (art. 13-14 RGPD)
Analyse d'impact	Obligatoire si risque eleve pour les droits des personnes (art. 35 RGPD)
Parametrage technique	Desactivation automatique hors temps de travail, pauses et conges
Registre des traitements	Inscription obligatoire du traitement (art. 30 RGPD)

Pratiques et recommandations

Desactiver automatiquement le dispositif en dehors du temps de travail, pendant les pauses, les conges et les arrets maladie pour garantir le respect de la vie privee.

Restreindre l'acces aux donnees de geolocalisation aux seules personnes habilitees et assurer la tracabilite de chaque consultation.

Chiffrer les donnees en transit et au repos, et limiter la duree de conservation au strict necessaire (recommandation CNPD : deux mois maximum).

Documenter l'ensemble du dispositif pour demontrer la conformite en cas de controle : AIPD, informations remises aux salaries, proces-verbal de consultation de la delegation, registre des traitements.

Eviter l'utilisation du GPS pour controler la productivite individuelle, ce qui constituerait un detournement de finalite sanctionnable par la CNPD. Les precautions RGPD detaillees doivent etre respectees a chaque etape.

Cadre juridique

Le cadre juridique applicable repose sur les textes suivants.

Reference	Objet
Art. L.261-1 Code du travail	Surveillance des salaries et traitement de donnees dans les relations de travail
Art. L.261-2 Code du travail	Sanctions penales (251 a 125 000 EUR)
Reglement UE 2016/679 (RGPD)	Protection des donnees a caractere personnel
Art. 6, 13, 14, 35 RGPD	Liceite, information, analyse d'impact
Loi du 1er aout 2018	Protection des personnes a l'egard du traitement des donnees
Lignes directrices CNPD	Geolocalisation des vehicules d'entreprise

Note

La loi du 1er aout 2018 a remplace les anciens cas limitatifs de l'art. L.261-1 par un renvoi aux bases legales du RGPD, elargissant les possibilites de geolocalisation. Le consentement n'est plus obligatoire mais les obligations d'information prealable de la delegation et des salaries restent incontournables. En cas de non-respect, la CNPD peut infliger des amendes allant jusqu'a 20 millions d'euros ou 4 % du chiffre d'affaires mondial.