L’utilisation des technologies de géolocalisation est encadrée par la CNIL (Commission Nationale de l’Informatique et des Libertés) dès lors qu’il s’agit de géolocaliser les véhicules automobiles utilisés par les employés d’un organisme privé ou public. Vous trouverez ci-dessous les principales règles à respecter telles qu’adoptées et rédigées par la CNIL dans leur délibération n°2006-066 du 16 mars 2006.
La principale donnée collectée par nos systèmes de géolocalisation est relative au positionnement du véhicule (ou de l’employé directement dans le cadre de nos systèmes nomades pour Protection du Travailleur Isolé (PTI)). La position du ou des véhicule(s) ou de vos employés à un instant « t » est affichée sur une carte numérique en ligne sur notre site internet sécurisé. Elle peut-être associée à d’autres informations tel que l’itinéraire utilisé par le conducteur, les kilomètres parcourus, les temps d’arrêt, la vitesse moyenne… Dans la mesure où ces données sont relatives à un employé identifié (on sait quel employé conduit tel véhicule), le système de géolocalisation constitue un « traitement de données à caractère personnel ».
Par conséquent, un employeur qui souhaite recourir à un système de géolocalisation doit effectuer une déclaration à la CNIL, qui vérifiera que les principes relatifs à la protection de données à caractère personnel sont bien respectés. Vous trouverez ci-après toutes les informations relatives à cette déclaration ainsi que les différentes règles à respecter.
Les finalités principales ci-dessous n'ont pas besoin d'être toutes réunies. En effet, l'une d'entre-elle suffit à justifier de la mise en place d'un système dé géolocalisation:
Le recours à un tel dispositif ne doit pas conduire à un contrôle permanent de l’employé concerné. En tout état de cause, le responsable du traitement ne doit pas collecter des données relatives à la localisation d’un employé en dehors des horaires de travail. Il convient donc de bien distinguer les véhicules de fonction et les véhicules de société. La CNIL analyse en effet les dispositifs de façon différente : le véhicule de société ne peut en principe être utilisé par un employé en dehors de ses heures de travail à la différence du véhicule de fonction, qui constitue un avantage en nature. Les employés doivent ainsi avoir la possibilité de désactiver la fonction de géolocalisation des véhicules à l’issue de leur temps de travail lorsque ces véhicules peuvent être utilisés à des fins privées.
Le traitement des données collectées grâce au dispositif de géolocalisation doivent être entourées d’un certains nombre de garanties :
Information préalable des employés. Le défaut d’information des employés est puni de 1.500€ (Décret 81-1142 du 23 décembre 1981). Cette information peut être transmise aux employés par un courrier remis en main propres, par une note d’information au personnel sur le tableau d’affichage et par une réunion d’information. Vous trouverez ci-dessous un exemple de note de service adressée à l’ensemble du personnel dans une société de taxis.
L’information doit contenir le détail des données collectées (Identité et adresse du responsable du traitement des données, la ou les finalités du traitement, les données à caractère personnel traitées, leur origine et les catégories de personnes concernées par le traitement, les destinataires de ses données, l’existence d’un droit d’accès et de rectification ou d’opposition et leurs modalités d’exercice.
Exercice du droit d’opposition. La loi « informatique et libertés » reconnaît à toute personne le droit de s’opposer, pour des motifs légitimes, à ce que les informations nominatives le concernant fassent l’objet d’un traitement. Néanmoins, c’est au responsable du traitement, en l’espèce l’employeur, d’apprécier la légitimité des motifs invoqués.
Information du comité d’entreprise. En application du code du travail, le comité d’entreprise doit être informé et consulté, préalablement à tout projet important d’introduction de nouvelles technologies, lorsque celles-ci sont susceptibles d’avoir des conséquences sur les conditions de travail du personnel. Les membres du comité reçoivent, un mois avant la réunion, des éléments d’information sur ces projets et leurs conséquences quant aux points mentionnés ci-dessus.
« De façon à mieux gérer nos interventions chez nos clients, nous vous informons que nous avons installé, dans les véhicules, un système permettant de les localiser en temps réel. Ce nouveau service va nous servir à repérer immédiatement le véhicule le plus proche d’une demande client. Nous aurons connaissance de l’itinéraire que vous suivez ainsi que des arrêts que vous effectuez. Nôtre objectif est de pouvoir procéder à une gestion en temps réel des déplacements auprès des clients et ainsi de favoriser une réduction de nos délais d’intervention.
Les données relatives à vos déplacements sont conservées au maximum deux mois.
Les services de la direction des ressources humaines et les responsables opérationnels sont les seuls destinataires de ces informations. Conformément aux articles 39 et 40 de la loi n°78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, toute personne peut obtenir communication et, le cas échéant, rectification ou suppression des informations la concernant, en s’adressant à la direction générale. Vous bénéficiez également d’un droit d’opposition, sous réserve d’invoquer des motifs légitimes qui seront soumis à l’appréciation de la direction. »
Qui doit déclarer ?
Le déclarant est le responsable du traitement des données à caractère personnel c'est-à-dire qu’il détermine les moyens du traitement. Dans le contexte de la géolocalisation c’est l’employeur qui doit procéder à la déclaration dans la mesure où il utilise le système GPS/GSM/GPRS pour localiser ses véhicules et donc ses employés.
Quand déclarer ?
L’employeur doit déclarer le dispositif de géolocalisation à la CNIL et attendre le récépissé de sa déclaration avant de le mettre en œuvre.
Quel type de déclaration ?
L’employeur doit effectuer une déclaration dite « normale simplifiée ».Le plus simple est de remplir la déclaration en ligne sur le site de la CNIL en suivant la procédure:
- Aller sur www.cnil.fr
- Cliquez sur "Declarer ...>"
- Cliquez sur "Toutes les Déclarations ..."
- Choisissez votre secteur d'activité
- Choisissez "Gestion du personnel, ressources humaines"
- Cliquez sur "Géolocalisation des véhicules des employés (Norme simplifiée n°51)puis sur "Ajouter à ma sélection"
- Sur la droite de l'écran, cliquez sur J'accède au formulaire puis remplissez les champs (cela vous prendra 5 mn)
Le responsable du traitement s’expose à des sanctions pénales et civiles en cas de non-déclaration de son traitement préalablement à sa mise en œuvre. La non-déclaration de traitement à la CNIL est punie de 5ans d’emprisonnement et de 300.000€ d’amende (article 226-16 du code pénal).
Sur le plan civil, la non-déclaration rend le dispositif inopposable aux employés, c’est-à-dire que l’employeur ne pourra utiliser les données collectées contre l’employé. La cours de cassation a considéré qu’un employeur ne peut sanctionner un employé qui refuserait de se plier à la mise en œuvre d’un traitement de données à caractère personnel si ce traitement n’a pas été déclaré à la CNIL (Décision du 6 avril 2004). Dans cette affaire, un employé refusait d’utiliser les badges mis en place pour contrôler les entrées et les sorties des employés, système non déclaré à la CNIL. Il avait été licencié pour faute.