5 obligations à respecter pour la géolocalisation de votre flotte de véhicules

Géolocaliser votre flotte de véhicules constitue une excellente solution pour simplifier la vie de vos équipes, améliorer la productivité de votre entreprise et optimiser vos méthodes de travail.

Lorsque vous mettez en place un tel dispositif, vous devez toutefois veiller à respecter quelques règles imposées par le droit de l’Union européenne avec le RGPD (Règlement Général pour la Protection des Données) ou recommandées par la Commission Nationale de l’Informatique et des Libertés (CNIL).

L’objectif est d’assurer la protection de la vie privée et des données à caractère personnel ou données sensibles de vos salarié(e)s. Pour cela, votre prestataire de de télématique, en sa qualité de sous-traitant, a un rôle à jouer. Mais il vous appartient, en tant que responsable du traitement, de veiller à ce que les mesures adéquates soient prises. La désignation d’un DPO (délégué à la protection des données), qu’il soit interne ou externe, est un élément clef de votre politique de traitement des données personnelles.

Voici donc les 5 principales obligations légales à prendre en compte

 

Règle n°1 : Établir des objectifs proportionnés

Votre dispositif de géolocalisation doit être conforme à la finalité ou aux finalités poursuivies que vous avez définies et communiquées. Si vous ne fixez pas des objectifs proportionnés aux intérêts légitimes de votre entreprise, les personnes concernées pourraient contester sa mise en œuvre, en vertu de l’article L1121-1 du Code du travail.

La CNIL, autorité administrative indépendante créée par la loi Informatique et Libertés, est chargée de veiller à la protection des données à caractère personnel. Elle fixe la base juridique et liste certaines finalités :

  • assurer la sécurité de vos salarié·es ou des biens de votre entreprise ;
  • suivre et facturer les prestations réalisées pour vos client·es (et les justifier en cas de litige) ;
  • allouer efficacement les moyens de l’entreprise pour vos interventions en des lieux dispersés ;
  • respecter une obligation légale ou réglementaire ; contrôler le respect des règles d’utilisation des véhicules ;
  • accessoirement, suivre le temps de travail, lorsque cela ne peut être réalisé par un autre moyen.

Le règlement européen RGPD élargit en outre le champ des possibles en permettant de fonder votre traitement de données en invoquant l’intérêt légitime, le consentement ou l’exécution d’un contrat.

Une seule contrainte : vous devez être capable de justifier le choix d’une telle base légale. Rassurez-vous un partenaire comme Viasat Connect peut vous aider dans cette démarche.

Règle n°2 : Informer formellement vos collaborateurs

En supprimant le formalisme de la déclaration à la CNIL, le RGPD a déplacé la charge de la preuve. Désormais, l’employeur, aidé de son DPO (délégué à la protection des données) doit démontrer qu’il a pris toutes les mesures pour informer les personnes concernées par le dispositif de géolocalisation. Cette charge est d’autant plus lourde que le défaut d’information peut conduire à des sanctions pénales (article 226-16 du Code pénal). Pour informer les personnes concernées qu’un traitement des données est mis en place, vous pouvez passer par une simple note de service, qui pourra être remise :

  • lors d’une réunion d’information, il faudra alors faire signer une feuille de présence ;
  • par courrier remis en main propre contre décharge ;
  • par lettre recommandée.

Cette information doit notamment préciser : le destinataire des données collectées, les personnes concernées, la finalité du traitement et la nature des informations collectées. Pour être en totale conformité, votre information doit indiquer la possibilité d’introduire une réclamation pour exercer son droit d’accès, son droit de rectification ou de portabilité des données, et enfin la durée de conservation des données.

Nous pouvons vous fournir des modèles de notes d’information sur simple demande depuis notre formulaire de contact.

De plus, si vous avez désigné un Délégué à la protection des données (DPO), il doit être associé à la mise en oeuvre du dispositif.

Enfin, votre système de géolocalisation doit être inscrit au registre des activités de traitement tenu par votre entreprise.

Règle n°3 : Permettre aux salarié·es de désactiver le dispositif en dehors de leurs heures de travail

Pour garantir une politique de protection de la vie privée des salariés et une politique de confidentialité, certains de vos véhicules doivent être équipés d’un dispositif permettant de désactiver la géolocalisation dans certains cas, en particulier en dehors du temps de travail (cf. Cour d’Appel de Paris 29-9-2016 n°15/17026).

Pour simplifier la mise en œuvre de cette disposition légale, nous vous proposons deux dispositifs :

  • Un bouton installé dans le véhicule,
  • Notre application

Toutefois, même si le mode “vie privée” est actif, la collecte des données peut se faire pour le nombre de kilomètres parcourus, les dates et heures des démarrages, les arrêts moteurs ou encore le nombre de désactivations du dispositif et leur durée.

Règle n°4 : Limiter la durée de conservation des données personnelles

La géolocalisation permet de collecter de nombreuses données vous permettant d’optimiser l’utilisation de vos ressources mobiles :

  • immatriculation et identification du véhicule ;
  • nombre de kilomètres parcourus ;
  • temps de conduite et temps d’arrêt ;
  • géolocalisation en temps réel ;
  • horodatage et géolocalisation des démarrages,
  • arrêts et temps morts.

La durée de conservation des données de géolocalisation doit être adaptée aux raisons pour lesquelles vous les avez collectées. Par défaut, les données de géolocalisation peuvent être conservées pendant 2 mois. Toutefois, vous pourrez les conserver jusqu’à 12 mois si vous les utilisez pour justifier d’une prestation – et même jusqu’à 5 ans si vous les utilisez pour le suivi du temps de travail. Cette finalité est toutefois de plus en plus contestée auprès des tribunaux (cf. Cass. Soc., 3 novembre 2011, n°10-18036 ou Cour d’Appel de Toulouse, 12 octobre 2012, n°10-07.286 ou Cour d’Appel de Reims, 7 mai 2014, n°13-00.776 ou Conseil d’Etat, 15 décembre 2017, n°403776).

Pour les données autres que la géolocalisation, la durée de conservation peut être supérieure. Par exemple, vous pouvez constituer une base de données vous permettant de mesurer l’évolution du nombre de kilomètres parcourus sur plusieurs années.

Cette conservation et la mise en oeuvre du traitement des données doivent doivent respecter des exigences en termes de sécurité pour garantir l’intégrité des données stockées. Les solutions de Viasat Connect intègrent en natif ces mesures de sécurité.

Règle n°5 : Exclure certaines utilisations

La géolocalisation est un outil performant permettant de très nombreuses applications. Cependant, vous n’avez pas le droit de l’utiliser dans quelques rares cas, comme par exemple :

  • pour équiper le véhicule d’employé·es disposant d’une liberté dans l’organisation de leurs déplacements (ex : VRP) ;
  • pour suivre les déplacements des représentant·es du personnel dans le cadre de leur mandat.

De plus, les informations de votre solution de géolocalisation sur le comportement routier en termes de vitesse ne peuvent constituer des preuves légales et opposables au salarié pour le sanctionner par exemple. Ces données peuvent néanmoins servir à la sensibilisation des salariés vis à vis des risques encourus et de la nécessité de se conformer aux règles de sécurité routière ou de l’éco-conduite. De façon globale, il revient aux autorités judiciaires et non à l’employeur de sanctionner d’éventuelles infractions au code de la route.

Si vous avez des doutes ou des questions, contactez nos équipes, elles sont à votre écoute et à votre disposition pour toute demande d’information complémentaire.

Si vous avez des doutes ou des questions, contactez nos équipes, elles sont à votre écoute et à votre disposition pour toute demande d’information complémentaire.