Comment l'employeur doit-il assurer la confidentialité des données de localisation d'un véhicule de fonction ?
Réponse courte
L'employeur doit garantir la confidentialité des données de localisation d'un véhicule de fonction via des mesures techniques (chiffrement, authentification renforcée) et organisationnelles (accès limité, traçabilité). Il doit informer préalablement les salariés, consulter la délégation du personnel, et obtenir l'autorisation de la CNPD (sauf exception). Les données doivent être conservées de manière proportionnée et supprimées ou anonymisées après usage, conformément à la loi du 1er août 2018 et au RGPD.
Définition
Les données de localisation désignent les informations permettant de suivre la position géographique d'un salarié via un véhicule de fonction équipé d'un dispositif de géolocalisation. La collecte de l'historique complet des trajets est encadree par des conditions strictes de liceite. Ces données, considérées comme données personnelles, sont soumises à la loi modifiée du 1er août 2018, au Code du travail, et au RGPD, imposant des exigences strictes de confidentialité, de sécurité, et de respect de la vie privée.
Questions fréquentes
Conditions d’exercice
La collecte des données de localisation est autorisée uniquement pour des finalités précises (ex. sécurité, optimisation des tournées), justifiées par une nécessité démontrée. L'employeur doit :
- Informer individuellement chaque salarié sur la collecte, les finalités, la durée de conservation, les destinataires, et leurs droits (accès, rectification, opposition, effacement).
- Consulter la délégation du personnel (RGPD et loi du 1er août 2018).
- Obtenir l'autorisation préalable de la CNPD, sauf exceptions prévues par la loi du 1er août 2018.
- Respecter l'égalité de traitement entre salariés (article L.241-1).
Modalités pratiques
L'employeur doit :
- Mettre en place des mesures techniques : chiffrement, authentification renforcée, stockage sur supports sécurisés.
- Limiter l'accès aux données aux personnes habilitées, avec traçabilité des consultations.
- Encadrer toute transmission à des tiers par des contrats garantissant la confidentialité.
- Fixer une durée de conservation proportionnée, avec suppression ou anonymisation irréversible des données à l'issue.
- Réaliser une analyse d'impact (AIPD) avant la mise en place du dispositif (article 35 du RGPD).
Pratiques et recommandations
- Établir une politique interne claire sur la gestion des données de localisation.
- Sensibiliser régulièrement les salariés à la protection des données personnelles.
- Mettre en place une procédure de notification en cas de violation de données.
- Effectuer des audits réguliers pour vérifier la conformité du dispositif. La duree de conservation legale des donnees GPS ne doit pas exceder deux mois en principe.
- Informer et consulter à nouveau la délégation du personnel en cas de modification substantielle du dispositif.
Cadre juridique
| Référence | Objet |
|---|---|
| Loi modifiée du 1er août 2018 | Protection des données personnelles, articles 5, 6, 8, 9, 23, 24, 25, 32, 35 |
| RGPD (Règlement UE 2016/679) | Surveillance et consultation de la délégation du personnel |
| Article L.241-1 du Code du travail | Égalité de traitement |
| Article L.121-6 du Code du travail | Respect de la vie privée |
| Règlement (UE) 2016/679 (RGPD) | Principes de protection des données |
| Lignes directrices CNPD sur la géolocalisation | Applicables aux dispositifs de localisation |
Note
Le non-respect des obligations de confidentialité expose l'employeur à des sanctions administratives (jusqu'à 4 % du chiffre d'affaires annuel mondial, RGPD) et pénales (loi du 1er août 2018), ainsi qu'à des actions en responsabilité civile par les salariés. Une AIPD et l'autorisation de la CNPD sont essentielles pour éviter les litiges.