Équiper sa flotte de boîtiers GPS est légal en France. La CNIL l’autorise sans ambiguïté, à une condition : que le dispositif reste proportionné à un objectif légitime. La géolocalisation des salariés touche à leur vie privée, et c’est précisément là que la plupart des entreprises se mettent en faute. Pas sur le principe, sur le paramétrage. Voici le cadre, les limites, et les étapes pour être en règle.
Ce que la CNIL autorise
La géolocalisation doit servir une finalité déterminée et légitime : sécurité des personnes et des marchandises, suivi de prestations facturées au client, optimisation de tournées sur des zones dispersées, ou suivi du temps de travail quand aucun autre moyen n’existe. Surveiller un salarié en continu n’est pas une finalité valable. Le critère décisif reste la proportionnalité entre les données collectées et le but poursuivi.
Ce qui est interdit
La CNIL pose des limites nettes. L’employeur ne peut pas :
- géolocaliser un salarié en dehors de son temps de travail ;
- suivre le trajet domicile-travail lorsqu’il n’est pas rémunéré ;
- utiliser le GPS pour contrôler la vitesse de conduite ;
- géolocaliser les représentants du personnel dans le cadre de leur mandat.
Quand le véhicule peut servir à des fins privées, un dispositif de désactivation du suivi doit être prévu.
Les obligations de l’employeur
Avant de déployer le système, consultez les représentants du personnel. Informez ensuite chaque salarié individuellement et par écrit : finalité, données collectées, durée de conservation, destinataires, droit d’opposition. Le traitement doit être inscrit au registre des activités de traitement, et le délégué à la protection des données (DPO) associé s’il en existe un. Sécurisez enfin les accès aux données par identifiant et mot de passe, en les limitant aux personnes autorisées. Le non-respect de ces règles expose à des sanctions de la CNIL.
Checklist de conformité
- Finalité écrite, légitime et proportionnée
- Représentants du personnel consultés
- Information individuelle écrite remise à chaque salarié
- Désactivation possible hors temps de travail
- Durée de conservation définie et limitée
- Traitement inscrit au registre, accès sécurisés
Choisir un outil qui ne complique pas la conformité
La responsabilité reste celle de l’employeur, mais le choix du prestataire pèse. Un dispositif dont l’hébergement des données reste en Europe simplifie nettement la mise en conformité, là où une solution hébergée hors UE ajoute une couche de complexité réglementaire. C’est l’un des arguments d’un outil de tournées hébergé en Europe et conçu pour le RGPD : les données ne quittent pas le territoire européen. Un critère à intégrer dès la sélection, pas après.
