CNPD — Géolocalisation salariés: 2 mois par défaut, AIPD fréquente

Dernière mise à jour CNPD (10/04/2024): la géolocalisation des véhicules mis à disposition des salariés reste possible, mais strictement encadrée: durées de conservation « en principe » limitées à deux mois, interdiction de suivi hors temps de travail en cas d’usage privé, et AIPD requise dans de nombreux cas. Pour un accompagnement opérationnel au Luxembourg, voir notre page RGPD Luxembourg et conformité CNPD.

L’affaire

Le 10 avril 2024, la Commission nationale pour la protection des données (CNPD) a actualisé sa page « Lignes directrices en matière de géolocalisation des véhicules mis à la disposition des salariés », assortie d’une fiche pratique. Le dossier précise notamment:

• qu’il n’est plus nécessaire de solliciter une autorisation préalable depuis l’entrée en application du RGPD (25 mai 2018), mais que toutes les obligations du règlement demeurent (registre art. 30, base légale art. 6, information art. 13/14, sécurité art. 32, etc.) ;
• des durées de conservation « en principe » limitées à deux mois, avec exceptions encadrées;
• l’interdiction de suivi en dehors des heures de travail lorsque l’usage privé du véhicule est autorisé;
• les cas où une AIPD (art. 35 RGPD) est requise.

Voir la page CNPD « Géolocalisation des véhicules » (dernière mise à jour: 10/04/2024) et ses sous‑pages thématiques. (cnpd.public.lu)

La sous‑page « Nécessité et proportionnalité » (mise à jour 15/04/2021) fixe des bornes pratiques: impossibilité d’utiliser les données de géolocalisation à des fins disciplinaires en dehors des finalités initialement prévues (par exemple contrôle des excès de vitesse, sauf obligation légale) et interdiction de suivi permanent des salariés. Elle détaille aussi les durées, dont le « 2 mois par défaut » et, le cas échéant, « 3 ans » si — et seulement si — la géolocalisation est l’unique moyen de vérifier le temps de travail. (cnpd.public.lu)

Enfin, la sous‑page « AIPD » (mise à jour 27/02/2023) articule l’obligation d’analyse d’impact avec la liste CNPD des traitements nécessitant systématiquement une AIPD (art. 35(4) RGPD), notamment lorsque la géolocalisation conduit à un contrôle régulier et systématique des employés. (cnpd.public.lu)

Le raisonnement juridique

• Base légale et cadre RGPD. La CNPD rappelle que l’employeur, responsable du traitement, doit inscrire la géolocalisation au registre (art. 30 RGPD) et choisir une base de licéité (souvent l’intérêt légitime, art. 6(1)(f), à démontrer via une mise en balance documentée). L’autorisation préalable sous l’ancienne loi de 2002 a disparu, mais le RGPD s’applique intégralement. (cnpd.public.lu)
• Spécificité luxembourgeoise: l’article L. 261‑1 du Code du travail encadre les traitements « à des fins de surveillance » dans la relation de travail. Il impose des conditions procédurales (information, consultation, etc.) et borne les finalités admissibles, sans dispenser des exigences RGPD. La CNPD regroupe ces exigences sur une page dédiée « Article L. 261‑1 ». (cnpd.public.lu)
• Nécessité et proportionnalité. La CNPD exige que la géolocalisation soit « la moins intrusive possible » et réservée aux finalités strictement nécessaires. Exemples concrets: (1) si la finalité est la lutte contre le vol, l’employeur ne peut détourner les données pour contrôler les itinéraires, la vitesse ou évaluer les performances; (2) si l’usage privé du véhicule est autorisé, l’activation hors temps de travail est interdite et le salarié doit pouvoir désactiver le dispositif. (cnpd.public.lu)
• Durées de conservation. La CNPD précise: • maximum 2 mois en principe; • jusqu’à 3 ans uniquement si la géolocalisation est le seul moyen de vérifier le temps de travail (délai de prescription civil applicable); • 1 an pour des preuves de facturation si aucune autre preuve n’est possible; • au‑delà, uniquement en cas d’incident et transmission à une autorité compétente, ou sous forme anonymisée. (cnpd.public.lu)
• AIPD (art. 35 RGPD). La CNPD renvoie aux Lignes directrices « DPIA » du G29 (WP248 rev.01), endossées par l’EDPB le 25 mai 2018, et à sa propre liste nationale (art. 35(4)): « contrôle régulier et systématique des activités des employés » dès lors qu’il en résulte des effets juridiques ou équivalents, exige une AIPD. Autrement dit, la géolocalisation à des fins de contrôle du temps de travail ou de discipline déclenche en pratique une AIPD. (cnpd.public.lu)

Ce que ça change concrètement

1. Décider des finalités « admissibles » et les cloisonner techniquement.
   Finalités typiques admises: optimisation de la flotte, affectation d’interventions, preuve de prestations/facturation, sécurité des biens (anti‑vol). À proscrire: exploitation secondaire pour évaluer la performance ou sanctionner un salarié si cela n’était pas la finalité de départ. Cloisonnez par politiques d’accès et journaux d’usage, et verrouillez l’outil pour empêcher l’extraction de rapports « RH/discipline ». (cnpd.public.lu)
2. Mettre en place la gouvernance « hors temps de travail ».
   Si l’usage privé est permis: bouton on/off dans le véhicule ou mode « privé » dans l’application, sous contrôle du salarié; logs attestant la désactivation; politique claire interdisant toute collecte en dehors des heures. Si le véhicule est strictement professionnel, documentez pourquoi un suivi continu est proportionné (p. ex. messagerie de nuit, marchandises sensibles) et cadrez les accès. (cnpd.public.lu)
3. Caler la durée de conservation « 2 mois par défaut » et les exceptions.
   Paramétrez l’outil pour purger les traces identifiantes sous 60 jours; ne dépassez 1 an (facturation) ou 3 ans (temps de travail seul moyen) qu’avec justification écrite, contrôle d’accès renforcé et registre à jour; anonymisez au‑delà si besoin de statistiques. (cnpd.public.lu)

En parallèle, évaluez formellement l’AIPD si la finalité implique un contrôle régulier/systématique des salariés, en suivant WP248 et la liste CNPD; associez le sous‑traitant (fournisseur télématique) via l’article 28(3)(f) RGPD pour obtenir les éléments techniques de sécurité, de minimisation et de paramétrage des durées. (cnpd.public.lu) Pour la conduite du projet, notre mandat DPO et le pilotage cyber peuvent accélérer la conformité.

Pièges fréquents

• Confondre finalité « sécurité des biens » et contrôle des performances. Installer un GPS anti‑vol ne vous autorise pas à surveiller la vitesse moyenne, les itinéraires ou à sanctionner un détour. La CNPD l’interdit explicitement. (cnpd.public.lu)
• Oublier le mode « privé » ou la désactivation hors temps de travail. Si l’usage privé est possible, l’absence de mécanisme de désactivation piloté par le salarié est non conforme. (cnpd.public.lu)
• Conserver trop longtemps. Paramétrer « 12 mois » « par confort » est contraire au principe des 2 mois. Les exceptions (1 an facturation, 3 ans temps de travail seul moyen) exigent une justification documentée. (cnpd.public.lu)
• Négliger l’AIPD. Un projet visant le suivi d’horaires itinérants, l’optimisation des tournées avec scoring, ou tout contrôle régulier systématique déclenche très souvent une AIPD. Appuyez‑vous sur WP248 (EDPB endossement) et la liste CNPD. (cnpd.public.lu)
• Omettre le cadre « L. 261‑1 » travail. Les obligations « relations de travail » (information individuelle, consultation, etc.) s’ajoutent aux exigences RGPD et ne peuvent être ignorées. (cnpd.public.lu)

Sources officielles

• CNPD — Lignes directrices: Géolocalisation des véhicules mis à la disposition des salariés (dernière mise à jour 10/04/2024): https://cnpd.public.lu/fr/dossiers-thematiques/surveillance/geolocalisation-vehicules.html
• CNPD — Principe de nécessité et de proportionnalité; durées, interdictions, exemples (15/04/2021): https://cnpd.public.lu/fr/dossiers-thematiques/surveillance/geolocalisation-vehicules/necessite-proportionnalite.html
• CNPD — AIPD et géolocalisation; renvoi à la liste CNPD art. 35(4) (27/02/2023): https://cnpd.public.lu/fr/dossiers-thematiques/surveillance/geolocalisation-vehicules/aipd.html
• CNPD — Article L. 261‑1 Code du travail: cadre « surveillance » en droit luxembourgeois: https://cnpd.public.lu/fr/dossiers-thematiques/surveillance/videosurveillance/article2611.html
• EDPB — Endorsement of GDPR WP29 guidelines (25/05/2018), confirmant la validité WP248 rev.01 (DPIA): https://www.edpb.europa.eu/news/news/2018/endorsement-gdpr-wp29-guidelines-edpb_en

En synthèse: au Luxembourg, la géolocalisation des véhicules est possible mais strictement bornée. Le « 2 mois par défaut », l’interdiction hors temps de travail dès qu’un usage privé est autorisé, et l’AIPD pour tout contrôle régulier/systématique sont des attentes explicites de la CNPD. Pour accélérer la mise en conformité, contactez‑nous via notre DPO certifié.

Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.