CNIL: données de localisation des véhicules — nouvelle recommandation
La CNIL publie, le 30 juin 2026, une recommandation sur l’usage des données de localisation des véhicules connectés. Elle précise consentement ePrivacy, droits multi‑utilisateurs, sécurité, minimisation et AIPD.
Le 30 juin 2026, la CNIL a publié une recommandation de 60 pages encadrant l’utilisation des données de localisation générées par les véhicules connectés (voitures, cycles, scooters, etc.). Le texte s’adresse aux constructeurs, gestionnaires de flotte, fournisseurs de boîtiers télématiques et agrégateurs, et complète le pack de conformité “véhicules connectés” (2017) ainsi que les lignes directrices EDPB 01/2020.
Les faits marquants
- Clarification des cas nécessitant un consentement préalable au titre de l’ePrivacy, en plus d’une base légale RGPD.
- Gestion des droits dans un contexte multi‑utilisateurs via des profils authentifiés et une UX embarquée adaptée.
- Exigences de sécurité, minimisation et anonymisation renforcées, avec AIPD lorsque le risque est élevé.
Cadre légal et fondement
La recommandation s’appuie sur le RGPD (minimisation, base légale, information, privacy by design, sécurité, AIPD) et sur la directive ePrivacy (art. 82 LIL en France) pour l’accès/écriture dans les équipements. Elle renvoie aussi aux lignes directrices EDPB 01/2020 pour l’interprétation européenne.
Pour un rappel structuré des obligations, consultez notre dossier dédié sur le RGPD et ses articles clés (dont 30 et 35).
Impacts pour les entreprises luxembourgeoises
Les acteurs opérant des flottes en France, vendant/louant à des résidents français, ou fournissant des boîtiers/plateformes de données doivent aligner leurs pratiques. L’effet extraterritorial s’applique à tout opérateur ciblant des utilisateurs en France.
- Consentement ePrivacy et RGPD : lorsque la localisation n’est pas strictement nécessaire au service demandé (p. ex. certaines fonctions d’info‑divertissement, optimisation produit), un consentement préalable est requis en plus d’une base légale RGPD appropriée. Des mécanismes de recueil et de traçabilité doivent être intégrés aux dispositifs et applications.
- Droits et profils : la CNIL attend des profils authentifiés pour dissocier les utilisateurs, activer l’information contextualisée et faciliter l’exercice des droits (accès, effacement, opposition, portabilité).
- Sécurité et minimisation : documenter les mesures techniques/organisationnelles (chiffrement, séparation des flux, rétention courte), et n’anonymiser qu’avec des techniques robustes contre la ré‑identification à partir de trajectoires. Une AIPD est recommandée et souvent nécessaire en cas de suivi systématique.
Si vous opérez au Luxembourg avec des activités en France, veillez à aligner vos pratiques sur cette référence. Voir nos ressources dédiées à la conformité RGPD au Luxembourg.
Actions concrètes à engager immédiatement
- Cartographier les traitements liés à la localisation par cas d’usage (assistance, vol/abus, optimisation, flotte), avec la base légale et le statut ePrivacy (nécessaire vs consentement).
- Mettre en place des profils authentifiés, des contrôles d’accès et une journalisation des choix de confidentialité, en validant l’UX avec le juridique.
- Lancer/mettre à jour l’AIPD : scénarios de risques, réduction de précision/fréquence, rétention courte, chiffrement et durcissement des boîtiers/API, protocole d’anonymisation et tests de ré‑identification, plus audits fournisseurs.
Besoin d’un appui opérationnel et d’un pilotage conforme ? Notre équipe peut assurer un mandat DPO certifié et coordonner l’alignement ePrivacy/RGPD avec votre ingénierie produit.
Sources
Pour échanger avec un expert, contactez-nous.
Article generé par la veille réglementaire Luxgap. Pour un accompagnement personnalisé sur ce sujet, contactez-nous.
Une question sur ce sujet ?
Notre équipe répond généralement sous 24 h ouvrées. Configurez votre devis ou écrivez-nous.
Configurer mon devis →