Afin de répondre au développement de l’utilisation des dispositifs de géolocalisation des véhicules par les organismes privés et publics, la CNIL a adopté le 14 juin 2015 une délibération[1] portant adoption d’une norme simplifiée n°51 concernant les traitements automatisés de données à caractère personnel destinés à géolocaliser les véhicules utilisés par les employés et modifiant la norme adoptée le 16 mars 2006.   

La nouvelle délibération prévoit qu’un dispositif de géolocalisation ne peut être mis en œuvre que pour une ou plusieurs des finalités suivantes : 

  • le respect d'une obligation légale ou réglementaire imposant la mise en œuvre d'un dispositif de géolocalisation en raison du type de transport ou de la nature des biens transportés ;
  • le suivi et la facturation d'une prestation de transport de personnes ou de marchandises ou d'une prestation de services directement liée à l'utilisation du véhicule, ainsi que la justification d'une prestation auprès d'un client ou d'un donneur d'ordre ;
  • la sûreté ou la sécurité de l'employé lui-même ou des marchandises ou véhicules dont il a la charge, en particulier la lutte contre le vol du véhicule ;
  • une meilleure allocation des moyens pour des prestations à accomplir en des lieux dispersés, notamment pour des interventions d'urgence ;
  • le contrôle du respect des règles d'utilisation du véhicule définies par le responsable de traitement, sous réserve de ne pas collecter une donnée de localisation en dehors du temps de travail du conducteur. 

Ainsi, un dispositif de géolocalisation ne saurait permettre à l’employeur de collecter des données de localisation en dehors du temps de travail du salarié ni même de suivre le temps de travail du salarié sauf si ce suivi ne peut être réalisé par un autre moyen, et après information de ce dernier et des institutions représentatives du personnel. 

Concernant les données traitées, les dispositifs de géolocalisation ne peuvent collecter que les données suivantes : 

  • le nom, prénom, coordonnées professionnelles et matricule interne de l’employé ;
  • le numéro de plaque d'immatriculation du véhicule ;
  • les données de localisation issues de l'utilisation d'un dispositif de géolocalisation et historique des déplacements effectués ;
  • la  vitesse de circulation du véhicule, le nombre de kilomètres parcourus, la durée d'utilisation du véhicule, le temps de conduite et les nombre d'arrêts ;
  • la date et l'heure d'une activation et d'une désactivation du dispositif de géolocalisation pendant le temps de travail. 
  • Les entreprises et organismes publics ayant effectué une déclaration simplifiée en référence l’ancien texte doivent donc mettre leur traitement en conformité avec la nouvelle normed’ici le 17 juin 2016 au plus tard. A défaut, ils ne pourront pas bénéficier de la procédure de déclaration simplifiée de conformité. 

Un audit des dispositifs de géolocalisation devra être mené en vue d’une mise en conformité avec les nouvelles exigences de la CNIL. L’entreprise devra également vérifier si elle a accompli son obligation d’information à l’égard des salariés et des institutions représentatives du personnel.

Attention ! Ces dispositions ne sont applicables qu’aux dispositifs de géolocalisation des véhicules professionnels : autrement dit, les dispositifs installés sur les smartphones des employés ou sur certains objets connectés devront faire l’objet de formalités préalables auprès de la CNIL. 

A compter de l’entrée en vigueur du règlement européen en 2018, toutes les entreprises et organismes publics seront dispensées de formalités préalables, à condition de respecter notamment les principes de privacy by design, d’accountability et de mener dans certains cas, des études d’impact.