Publié dans Le Journal du Net, le vendredi 16 octobre 2020
Les bonnes pratiques de sécurité concernant les données de géolocalisation des salariés
Cette année, les données de géolocalisation pour les services de proximité sont une des priorités de contrôle de la CNIL.
Données de géolocalisation et données personnelles
En tant qu’employeur, une entreprise peut être amenée à installer, dans les véhicules ou les téléphones portables utilisés par ses salariés, des dispositifs de géolocalisation. Les données de géolocalisation ne sont pas, par défaut, des données personnelles au sens du RGPD, sauf si elles permettent d’identifier le salarié. Les éléments fournis dans la suite de ce chapitre s’appliquent aux données de géolocalisation permettant d’identifier le salarié.
Restrictions d’usage
Le recours à un dispositif de géolocalisation doit être limité au strict nécessaire. L’entreprise mettant en place ce type de dispositif devra donc identifier clairement son besoin, en documenter la légitimité, et être en capacité de prouver que seul un dispositif de géolocalisation permettait d’y répondre. Pour exemple :
- Il n’est pas nécessaire pour l’entreprise d’avoir des informations sur le trajet effectué pour caractériser un abus d’utilisation du véhicule fourni par la société et sa gravité, le nombre de kilomètres parcourus hors période d’utilisation légale du véhicule suffira à lui seul pour le faire.
- L’utilisation d’un dispositif de géolocalisation pour le suivi du temps de travail des employés n’est autorisée que s’il n’existe pas d’autre moyen pour l’entreprise de réaliser ce suivi.
- S’il est autorisé pour l’entreprise de contrôler les règles d’utilisation des véhicules mis à disposition ou le bon déroulement des tournées, l’utilisation d’un dispositif de géolocalisation pour le suivi et le contrôle permanent des employés, la vérification du respect des limitations de vitesse ou encore la collecte des données de localisation du salarié pendant ses temps de pause n’est pas autorisée.
Règles d’implémentation
Pour les cas autorisés par la règlementation, des mesures doivent être mises en œuvre afin d’assurer que les droits des employés sont respectés :
- Les salariés doivent être explicitement informés de l’installation d’un dispositif de géolocalisation dans leur véhicule professionnel. Il n’est pas obligatoire de passer par un avenant au contrat de travail pour ce faire, la communication peut être réalisée par exemple au travers d’une note de service.
- Comme pour tout traitement de données personnelles réalisées au sein d’une entreprise, les salariés doivent recevoir toutes les informations relatives à la collecte des données de localisation réalisée.
- Les salariés doivent être informés de leurs droits vis-à-vis de ce traitement, notamment concernant leur droit à l’opposition.
- Les salariés doivent être informés de leur droit d’accéder aux données collectées par l’appareil et des mesures techniques et organisationnelles doivent être mises en œuvre pour leur permettre cet accès.
- Les salariés doivent être informés de leur droit de désactiver l’outil en dehors de leur temps de travail et des mesures techniques et organisationnelles doivent être mises en œuvre pour leur permettre cette désactivation.
Le saviez-vous ?
Toute décision d’installation d’un dispositif de géolocalisation dans les véhicules professionnels doit être approuvée par les instances représentatives du personnel. A partir du moment où le dispositif permet de remonter au salarié concerné, le système de géolocalisation doit être considéré comme un traitement au sens du RGPD, il doit donc apparaître dans le registre de traitement de l’entreprise.
Des mesures de sécurité techniques et organisationnelles permettant d’assurer la protection de ces données et d’éviter tous risques de fuite ou de divulgation de données doivent être mises en œuvre. Si l’entreprise a recours à des sous-traitants pour le traitement de ces données, il est obligatoire de s’assurer qu’ils respectent les différentes règles de protection des données à caractère personnel. Comme pour toute donnée personnelle, la durée de conservation des données de géolocalisation doit être limitée.
LIRE L’ARTICLE EN ENTIER