2 min de lecture

RGPD : les 5 principaux risques de la géolocalisation de véhicules

 RGPD : les 5 principaux risques de la géolocalisation de véhicules

Cet article explore les implications du RGPD sur la géolocalisation des véhicules, ainsi que ses risques potentiels en cas de non conformité. Le règlement général de l'UE sur la protection des données (RGPD) ne fait pas exception. Les organisations doivent désormais démontrer qu'elles ont pris des mesures pour protéger les données personnelles - et cela signifie notamment de faire le point sur l'endroit où vous les stockez et sur la manière dont vous les utilisez en matière de ressources humaines.

Qu'est-ce que la géolocalisation de véhicules ?

La géolocalisation de véhicules est une technologie qui permet de suivre en temps réel l'emplacement d'un véhicule, tel qu'une voiture de livraison ou un taxi. La géolocalisation peut utiliser un dispositif installé dans le véhicule qui communique constamment avec les tours cellulaires à proximité. Cette opération s'effectue de manière automatique sans intervention du conducteur. Comme un nombre croissant d'entreprises s'appuient sur la géolocalisation pour gérer leur flotte, les données produites par ces dispositifs ont de plus en plus de valeur. Par exemple, avec le consentement des bénéficiaires, les compagnies d'assurance peuvent utiliser les données de ces dispositifs pour récompenser les conducteurs prudents par des primes moins élevées.

Pourquoi utiliser la géolocalisation ?

En pratique, le suivi en temps réel des véhicules peut aider les entreprises à améliorer leur efficacité, à économiser de l'argent et à obtenir de nouvelles informations sur les performances de leur flotte. Par exemple, un logiciel de gestion de flotte qui s'appuie sur la géolocalisation des véhicules peut suivre l'emplacement de chaque véhicule et être utilisé pour optimiser les itinéraires, réduire la consommation de carburant et minimiser les émissions.

La CNIL a identifié six finalités pour lesquelles la géolocalisation peut être envisagée, pour assurer la sécurité de l’employé, des marchandises ou des véhicules dont il a la charge, contrôler le respect des règles d’utilisation du véhicule.

RGPD et Géolocalisation : le risque d’une utilisation illicite

La CNIL a dès 2018 identifié des utilisations pour lesquelles le recours à la géolocalisation doit être exclu. Ces exclusions concernent la situation salariale.

Un employeur ne peut donc pas utiliser la géolocalisation pour :

  • contrôler le respect des limitations de vitesse
  • effectuer un contrôle permanent de ses employés,
  • dans le véhicule d’un employant libre dans son organisation et ses déplacements
  • contrôler les déplacements des élus du personnel dans l’exercice de leurs missions de représentants du personnel
  • effectuer des contrôles ou des vérifications en dehors des horaires de travail
  • pour calculer le temps de travail si le recours à d’autres moyens sont possibles

Le manque de transparence pour les personnes concernées

Le RGPD met particulièrement l'accent sur la transparence et la nécessité pour les personnes concernées de comprendre comment leurs données sont utilisées. Malheureusement, de nombreuses entreprises utilisant la géolocalisation n'assurent pas de transparence pour les personnes dont elles collectent les données. Ainsi soit les personnes concernées ne sont pas informées quant au traitement de leur localisation, soit elles le sont partiellement ou de manière floue. 

Ce manquement fait écho à l’atteinte aux principes d’information et la licéité du traitement.

RGPD et Géolocalisation : agir dans le cadre de la base légale

Un autre risque de non-conformité au RGPD est le risque qu'une entreprise n'ait pas de base légale pour le traitement des données. Le RGPD énonce 6 bases légales permettant le traitement des données à caractère personnel à savoir: le consentement, une obligation légale, l’exécution d’un contrat, la sauvegarde des intérêts vitaux, l’intérêt légitime et la poursuite d’une mission d’intérêt public. L’entreprise doit ainsi veiller à strictement agir dans le cadre de la base légale qu’elle aura déterminée et pour la finalité visée.

Principe de minimisation du traitement des données à caractère personnel

Le traitement des données à caractère personnel doit poursuivre de grands principes directeurs dont celui de la minimisation du traitement des données à caractère personnel. 

Par ce principe, les responsables de traitement s'assurent du traitement des données strictement nécessaires à la finalité poursuivie. Ainsi, même si le consentement de la personne concernée a été recueilli, si la collecte de la donnée n’est pas nécessaire à l’activité, et qu’elle a été collectée “au cas où”, le traitement peut être considéré non conforme au RGPD. Dans le même sens, le traitement pourra être considéré non conforme au RGPD si le même but peut être atteint par d’autres moyens que la géolocalisation du véhicule. Par exemple, le contrôle de l’immobilisation d’un véhicule peut être fait en contrôlant uniquement le kilométrage ; le recours à la géolocalisation devient ici disproportionné. 

Géolocalisation et Sanction RGPD : focus sur UBEEQO INTERNATIONAL 

Le 7 juillet 2022 la CNIL s’est prononcé et a sanctionné la société de location de voiture en libre service UBEEQO INTERNATIONAL. La CNIL a condamné UBEEQO à une amende à hauteur de 175 000 euros d’amende. 

Il a été relevé que la société traitait de façon disproportionnée les données collectées pour la location d’un véhicule par un particulier. En effet, la collecte de données se faisait dès le démarrage et l’extinction du moteur, dès l’ouverture d’une porte et tous les 500 mètres; ces données étaient conservées pendant 3 ans après la fin de la location ce qui a été considéré comme excessif. La CNIL a sanctionné UBEEQO considérant que ses pratiques étaient “très intrusives dans la vie privée des utilisateurs”.

La société devra mieux respecter le principe minimisation des données, la détermination d’une durée de conservation proportionnée et enfin correctement informer les utilisateurs sur le traitement des données utilisées.

A titre de comparaison, la conservation des données est aussi en enjeu concernant les fiches de paie des salariés : peut-on garder des fiches de paie plus de 5 ans après le départ du salarié ?

Les poursuites pour non respect du RGPD en matière de géolocalisation 

Le non-respect de ses principes expose votre structure à des poursuites judiciaires. Les personnes concernées peuvent ainsi saisir la CNIL et, ou l'inspection du travail pour faire valoir leurs droits. Attention, le RGPD concerne aussi les candidats et candidates au recrutement.

Concernant la CNIL, elle peut notamment publier publiquement ses sanctions et prononcer des amendes pouvant aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial de l’entreprise. En cas de litige devant un tribunal judiciaire, la personne concernée ayant subi un préjudice pourra également prétendre à des dommages et intérêts.

La conformité au RGPD est une priorité pour les structures qui s'appuient sur le traitement des données de géolocalisation des véhicules.

article author
Yolène FELTRIN