Guide RGPD pour la géolocalisation de flotte auto

30/08/2021 | Gestion de Flotte

Comment mettre en place une solution de Géolocalisation (ou tracking temps réel des véhicules) tout en respectant le cadre juridique imposé par le RGPD ? Si vous êtes gestionnaire de flotte ou en charge de la gestion des véhicules de votre société, vous le savez déjà, c’est un sujet vaste, complexe mais stratégique et essentiel pour vous !

Lorsque l’on connait l’importance d’un suivi régulier des véhicules et les économies à la clé, il est clair que l’on ne peut se passer d’outils télématiques permettant de suivre ses véhicules. Et à l’heure du RGPD, l’enjeu est forcément de taille !

Vous savez aussi que la mise en place de tel système est parfois mal perçu par vos collègues, utilisateurs des véhicules traqués ou suivis, pour des raisons évidentes liées à la confiance et au respect de la vie privée.
Au-delà de la complexité technique d’implémentation et de la fiabilité des données, c’est vraiment ce point de la gestion des données personnelles qui va nous intéresser dans cet article. S’il y a bien un sujet qui revient dans l’ensemble des services de l’entreprise depuis quelques années, c’est bien celui de la protection des données personnelles : le RGPD.
Le RGPD c’est le Règlement Général sur la Protection des Données. Il régit le traitement des données personnelles sur le territoire européen. Il est le « successeur » de la fameuse déclaration CNIL que vous faisiez assez facilement au début des années 2000, mais ça, c’était avant !

Nous allons vous apporter ici des éléments de réponse à ces questions simples mais finalement pas toujours évidentes !

Que dit le RGPD ?

Les sociétés ont parfaitement le droit d’opter pour le suivi flotte à distance et cette pratique est même facilitée depuis le 25 mai 2018, date de l’entrée en vigueur du RGPD, puisque la déclaration des véhicules professionnels géolocalisés n’est plus obligatoire auprès de la CNIL. Alors en réalité, ce n’est pas vraiment qu’elle soit facilitée, elle entre tout simplement dans le nouveau cadre qu’est le RGPD et qui définit donc des règles à suivre.
Par défaut, les règles de base du RGPD s’applique forcément à la géolocalisation, donc par exemple, il faut s’assurer que :

  • ces données sont clairement identifiées et leur typologie est recensée et organisée dans le registre de votre société,
  • seules les personnes habilitées ont accès à ces données,
  • chaque donnée collectée en plus de la position du véhicule est bien définie et utilisée uniquement dans le cadre des objectifs initiaux (pas de collecte « au cas où »),
  • ces données sont parfaitement sécurisées.

La CNIL met à votre disposition des outils pour vous aider, vous pouvez les retrouver en bas de page ici sur le site de la CNIL.

Obligation de motivation :

Avant de se lancer dans l’installation d’un système de géolocalisation et bien que ces outils de suivi de flotte automobile soient autorisés, il est nécessaire de définir le cadre et surtout les objectifs visés par ces équipements. L’installation de tels outils de gestion doit être motivée par des objectifs bien précis qui permettront à la fois de justifier de leur utilisation en cas de contrôle, mais aussi de faciliter leur acceptation par les salariés. Les motifs admis par le RGPD sont les suivants :

  • Le calcul du temps travail afin de déterminer la rémunération du salarié s’il n’y a pas d’autre solution disponible.
  • L’optimisation de l’utilisation des véhicules.
  • L’établissement d’une tarification pour une prestation comprenant le transport.
  • La sécurité des conducteurs.
  • La vérification que les véhicules sont utilisés dans le respect du règlement établi par la société.
  • L’observation d’une réglementation ou d’une loi inhérente à l’activité.

En dehors de ces motifs, la géolocalisation n’est pas autorisée et les salariés sont en droit de refuser ce genre d’installation.

Obligation d’information préalable :

À partir de là, les employeurs ont l’obligation d’informer à la fois :

  • les syndicats et autres représentants du personnel,
  • ainsi que chacun des salariés à titre personnel.

Cette sensibilisation a pour vocation d’informer le salarié sur la base juridique de l’installation d’une solution télématique.
Elle doit contenir un certain nombre d’informations précises et obligatoires :

  • les raisons de la mise en place d’un tel dispositif (le/les motifs vu précédemment et détaillé si possible),
  • l’identité du responsable de cette solution au sein de l’entreprise (par exemple le gestionnaire de flotte (fleet manager), ou les responsabile administratif, etc.),
  • la destination finale des données récoltées via la géolocalisation,
  • la durée de conservation des données (plus d’infos ici),
  • la possibilité de refus du salarié pour des motifs prévus par la loi,
  • la possibilité pour le salarié d’accéder aux informations et de les corriger à tout moment et de déposer une plainte en cas de litige.

Afin de ne pas se heurter aux foudres des salariés, il est important de décrire de la manière la plus transparente possible les raisons qui ont amené l’entreprise à faire ce choix, car bien souvent, c’est en expliquant rationnellement les choses qu’elles sont comprises et plus facilement acceptées.

Obligation de limitation de durée de stockage :

Comme pour tout type de données à caractère personnel, les données collectées dans le cadre de la géolocalisation d’un véhicule associé à un salarié ne peuvent être conservées que temporairement selon leur type d’utilisation :

  • 2 mois pour la géolocalisation.
  • 12 mois pour une optimisation de l’organisation du travail (amélioration d’une tournée).
  • 5 ans dans le cadre du calcul du temps de travail du salarié via le système télématique.

A noter également que l’employeur doit consigner l’exploitation des données provenant de la géolocalisation dans la partie des traitements d’informations liées à son activité.

Que pouvez-vous faire ou ne pas faire en termes de géolocalisation ?

Comme vu ci-dessus, une liste de motifs a été définie afin d’encadrer les cas pour lesquelles l’utilisation d’un outil de suivi de flotte est autorisée. Cependant, il existe des cas où la géolocalisation est interdite, nous les avons listés ci-dessous :

  • la surveillance permanente (en dehors du temps de travail),
  • le suivi de conduite (respect des limitations de vitesse),
  • le calcul le temps de travail si d’autre moyen existe déjà,
  • le suivi des véhicules de salariés ayant une autonomie et une liberté de déplacement dans le cadre de leur fonction (représentant du personnel, VRP, cadre autonome).

Comme nous pouvons le constater, la frontière entre les motifs autorisés et ceux qui ne le sont pas, n’est pas toujours évidente. C’est pour cela qu’il faut bien définir en amont les cas d’usages pour s’assurer de ne pas tomber dans une interdiction. Le suivi de conduite par exemple, bien qu’exclu des motifs d’usage pour la géolocalisation, est tout à fait autorisé dans le cadre précis de conseils à l’éco-conduite basé sur l’analyse du véhicule. Tout est question d’équilibre et de justification.

Et comment s’assurer de bien respecter les règles ?

1. Suivre les conseils précédents :

Dans un premier temps, tout simplement en suivant les précédents conseils qui visent à définir clairement le besoin, valider qu’il entre bien dans les motifs acceptés, et surtout qu’il ne frôle pas de trop près ceux qui ne le sont pas. Puis, en communicant de manière la plus claire et transparente possible la mise en place de cet outil de tracking afin de désamorcer à la source toute potentielle crise.

Pour information : il faut savoir que la plupart des contrôles réalisés par les instances du RGPD le sont à la suite d’une dénonciation, bien souvent d’un salarié (ou d’un client dans le cadre des données clients). Ils viennent rarement par hasard auditer des entreprises, surtout qu’ils n’ont pas les moyens de le faire aléatoirement. Il est donc très important de bien inclure les salariés dans cette mise en place.

2. Choisir une solution de suivi de flotte RGPD ready :

Dans un second temps, il est impératif de choisir un prestataire maitrisant la question et capable de vous fournir une solution dite « RGPD ready », c’est-à-dire qui intègre des solutions technologiques vous permettant d’être en conformité avec la législation. C’est le cas de la solution proposée par CARMOOVE qui offre nativement la « confidentialité de géolocalisation ». Cette fonctionnalité permet au gestionnaire de flotte de définir des règles précises quant au suivi du véhicule et des conducteurs. Par exemple, il peut décider d’activer la confidentialité de géolocalisation :

  • pour certains véhicules, qui ne seront donc, de fait, jamais traqués (cas des véhicules de courtoisie par exemple).
  • pour certains conducteurs, qui de la même manière, ne seront jamais traqués même s’ils utilisent un véhicule avec tracking activé (cas du représentant du personnel par exemple)
  • pour des plages horaires ou des jours précis, (cas des véhicules de société utilisés également en dehors des heures de travail par exemple).

Et bien entendu, cela n’affectera en rien le fonctionnement de la solution concernant les autres fonctionnalités qui utilisent la localisation. C’est simplement que cette donnée ne sera pas accessible même si le système continue de l’utiliser pour son bon fonctionnement (en cas de vol d’un véhicule en mode de confidentialité, Carmoove reste en mesure de le retrouver sur demande par exemple).

3. Se faire accompagner par un pro

Enfin, et plus souvent dans le cas de très grosse flotte avec des enjeux économiques et financiers lourds, le recours à un avocat spécialisé, peut permettre de cadrer définitivement le sujet et s’éviter quelques nœuds au cerveau en cas de contestation. Si vous disposez déjà en interne d’un DPO qui maitrise parfaitement le sujet, alors vous êtes entre de bonnes mains.
Il ne s’agit pas ici de faire appel à un consultant lambda qui pourra être un expert en gestion de flotte ou en intégration de logiciel, mais bien à un professionnel du droit, spécialisé dans ces questions et qui vous aidera à cadrer la question juridique à partir des cas d’usages opérationnels que vous aurez déjà défini par ailleurs dans les étapes précédentes.

A quoi vous exposez-vous en cas de manquement ?

Les sanctions applicables varient d’un État membre de l’Union Européenne à l’autre. Lorsque des manquements au RGPD ou à la loi sont portés à sa connaissance, la formation restreinte de la Commission Nationale de l’Informatique et des Libertés (CNIL) en France peut prononcer, après une procédure contradictoire, une ou plusieurs des mesures suivantes .

Les sanctions pécuniaires

Une amende administrative ne pouvant excéder 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial de la société. Pour les manquements les plus graves, ce montant peut s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial.
Autant vous dire qu’il est essentiel de ne pas faire n’importe quoi !

Les sanctions non pécuniaires

Il est aussi possible d’être condamné, souvent dans un premier temps, à des sanctions non pécuniaires :

  • Un rappel à l’ordre.
  • Une injonction de se mettre en conformité. Cette injonction peut être assortie d’une astreinte dont le montant ne peut excéder 100 000 euros par jour de retard.
  • Une limitation temporaire ou définitive du traitement, son interdiction ou le retrait d’une autorisation.
  • Le retrait d’une certification.
  • La suspension des flux de données adressées à un destinataire situé dans un pays tiers ou à une organisation internationale.
  • Une suspension partielle ou totale de la décision d’approbation des règles d’entreprise contraignantes (BCR).

Pour information : par ailleurs, la formation restreinte peut décider de rendre publique la décision qu’elle adopte. Elle peut également ordonner l’insertion, aux frais des organismes sanctionnés, de la décision dans des publications, journaux et supports qu’elle désigne.

En conclusion : RGPD et outils de suivi de flotte

Voilà, vous connaissez l’essentiel sur la mise en place d’un outil de suivi de flotte autorisant la géolocalisation de véhicules tout en veillant à respecter le cadre juridique dressé par le RGPD.
En résumé, pour qu’un employeur puisse profiter pleinement des bénéfices apporter par l’utilisation de la géolocalisation et autres services télématiques en adéquation avec le dispositif RGPD il lui faut :

  • Être transparent avec ses salariés en communiquant clairement sur la mise en place du dispositif.
  • Faciliter l’accès des données aux salariés (modification, consultation, opposition ou suppression de données).
  • Récupérer uniquement les données strictement nécessaires à son activité.
  • Sécuriser les données récoltées.
  • Communiquer et respecter les délais de conservation des datas.

Pour en savoir plus sur les secrets d’un parfait entretien de votre flotte, lisez notre article sur le sujet.

*** Carmoove c’est aussi le suivi centralisé de la sécurité, de l’utilisation et l’administratif de vos véhicules. Pour en savoir plus sur les solutions logicielles de gestion de flotte proposées par Carmoove, n’hésitez pas à nous contacter.***

Si vous avez des questions ou des remarques, n’hésitez pas à commenter ci-dessous.

Pour ne rien rater des nouveautés Carmoove, inscrivez-vous :

Ce site est protégé par reCAPTCHA et Google. Politique de confidentialité et Conditions d'utilisation.

0 commentaires

Trackbacks/Pingbacks

  1. Le secret de l'entretien d'une flotte automobile - Carmoove - […] Article suivant → […]

Soumettre un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Pin It on Pinterest