AIPD obligatoire: CNPD vs CNIL — géolocalisation, deux seuils

En bref — La CNPD exige une AIPD dès qu’il y a « suivi systématique de la localisation », tandis que la CNIL la réserve aux « données de localisation à large échelle ». Conséquence: au Luxembourg, même une petite flotte ou un MDM avec localisation déclenche l’AIPD.

L’affaire

• Luxembourg — Le 19 avril 2021, la CNPD a mis à jour sa « Liste de traitements pour lesquels une AIPD est obligatoire » (art. 35(4) RGPD). Le point 7 vise « les opérations de traitement qui consistent en un suivi systématique de la localisation de personnes physiques », sans seuil de « grande échelle ». Voir CNPD, « Liste de traitements… AIPD obligatoire » (dernière mise à jour 19/04/2021). cnpd.public.lu
• France — La CNIL, dans sa liste adoptée le 11 octobre 2018 (publiée le 6 novembre 2018), inclut « les traitements de données de localisation à large échelle ». Voir CNIL, « Analyse d’impact… publication d’une liste » et la liste PDF « AIPD requise ». cnil.fr

Ce décalage — « suivi systématique » (CNPD) vs « large échelle » (CNIL) — crée une divergence concrète pour les flottes, apps de mobilité interne ou dispositifs MDM.

Le raisonnement juridique

• Le cadre — L’article 35 RGPD impose une AIPD lorsqu’un traitement est « susceptible d’engendrer un risque élevé » et permet aux autorités de publier des listes (art. 35(4)). eur-lex.europa.eu. Pour une vision opérationnelle, voir nos repères sur l’article 35 RGPD et ses liens avec l’article 30.
• Harmonisation — Le CEPD a endossé les Lignes directrices WP248 rev.01 (9 critères indicatifs; souvent 2 critères suffisent). Elles encadrent les listes nationales sans les uniformiser totalement. edpb.europa.eu

Position CNPD

Lecture centrée sur la nature du traitement: « suivi systématique de la localisation » = AIPD requise, sans condition de « large échelle ». La CNPD cible aussi, séparément, le « contrôle régulier et systématique des activités des employés » avec effets juridiques ou incidence significative, et la combinaison de données à effets significatifs. cnpd.public.lu

Position CNIL

La CNIL impose l’AIPD pour la localisation à large échelle et pour la « surveillance constante de l’activité des employés », articulant l’obligation autour des critères WP248 tout en gardant un seuil explicite pour la localisation. cnil.fr (PDF)

Lecture CEPD

Le CEPD rappelle l’usage des 9 critères WP248 et considère que deux critères suffisent souvent, tout en admettant des précisions locales si l’esprit des lignes est respecté. D’où la coexistence de seuils différents. edpb.europa.eu

Conséquence pratique: pour une même flotte ou app, l’AIPD sera « toujours requise » au Luxembourg, mais « requise si large échelle » en France.

Ce que ça change concrètement

• Flottes de véhicules — Au Luxembourg, une TPE/PME qui suit 15 utilitaires en continu doit réaliser une AIPD (« suivi systématique de la localisation »). En France, on peut argumenter l’absence de « large échelle », mais d’autres critères (surveillance des employés, vulnérabilité) peuvent conduire malgré tout à une AIPD. CNPD
• Pointage et géofencing — Un module mobile de présence via géofencing déclenche l’AIPD au Luxembourg, même pour un effectif limité. En France, l’analyse porte sur la large échelle et la surveillance constante.
• BYOD/MDM avec localisation — L’activation forcée de la localisation d’un smartphone professionnel implique une AIPD au Luxembourg; en France, le pivot redevient la « large échelle », sans exclure les autres critères WP248.

Quoi qu’il arrive, l’art. 35(1) demeure la clause de rattrapage: même hors liste nationale, une AIPD est requise si un risque élevé est probable au regard des critères WP248. EUR‑Lex

Pièges fréquents

1. Se limiter à la « grande échelle » — Erreur typique des groupes frontaliers: caler la politique sur la France et oublier qu’au Luxembourg, tout « suivi systématique de la localisation » appelle une AIPD. CNPD
2. Confondre registre et AIPD — L’article 30 n’est pas une AIPD: l’étude de risque (art. 35) doit analyser les mesures d’atténuation et, si le risque reste élevé, conduire à une consultation (art. 36). EUR‑Lex
3. Oublier les effets « significatifs similaires » — La CNPD vise aussi le contrôle régulier et systématique des employés avec effets juridiques ou similaires (discipline, primes). CNPD
4. Négliger les cumuls WP248 — En France, même sans « large échelle », la combinaison « surveillance systématique » + « personnes vulnérables (employés) » peut justifier une AIPD. CNIL
5. Se focaliser sur la rétention, pas sur l’accès — Une AIPD doit aussi couvrir l’accès en temps réel, l’alerte, la granularité et la minimisation, pas seulement la purge. EDPB

Sources officielles

• CNPD — Liste AIPD obligatoire (19/04/2021): https://cnpd.public.lu/fr/professionnels/obligations/AIPD/liste-dpia.html
• CNIL — AIPD: publication + PDF « Liste des traitements pour lesquels une AIPD est requise »: https://www.cnil.fr/liste-traitements-aipd-requise — PDF
• RGPD — Article 35 (AIPD) sur EUR‑Lex: https://eur-lex.europa.eu/legal-content/EN-FR/TXT/?uri=CELEX%3A32016R0679
• EDPB — WP248 rev.01: https://www.edpb.europa.eu/node/1491_ga

Commentaire des régulateurs

La CNPD privilégie une logique de risque intrinsèque aux cas d’usage (géolocalisation = suivi systématique), abaissant de facto le seuil luxembourgeois. La CNIL garde un filtre « large échelle » mais rappelle le cumul des critères WP248.

En synthèse

Au Luxembourg, adoptez un réflexe AIPD pour toute collecte de localisation d’employés ou d’utilisateurs, quelle que soit la taille. En France, testez d’abord la « large échelle » — sans oublier que les critères WP248 peuvent, à eux seuls, rendre l’AIPD incontournable.

Besoin d’un appui opérationnel pour cadrer vos analyses d’impact et vos registres? Confiez le pilotage à un DPO externalisé rompu aux exigences CNPD et renforcez votre conformité CNPD au Luxembourg.

Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.