À l’heure où les chantiers et les flottes logistiques se digitalisent à vitesse grand V, la frontière entre protection des salariés et surveillance constante devient poreuse. Entre l'obligation de sécurité de l'employeur et le droit fondamental à la vie privée, la CNIL a tracé une ligne rouge très claire. Pour les professionnels du BTP, de l'industrie ou du transport, comprendre ces limites n'est plus une option, c'est une nécessité juridique pour éviter des sanctions qui peuvent s'avérer lourdes.
1. Sécurité ou flicage ? Le cadre de la CNIL pour équilibrer vos priorités
Le déploiement de technologies de géolocalisation, qu'il s'agisse de boîtiers embarqués dans les véhicules de fonction ou de capteurs dans les Équipements de Protection Individuelle (EPI), repose sur un équilibre fragile. En France, ce n'est pas le "Far West" numérique : le cadre légal est solidement ancré dans le Code du travail (notamment l'article L. 1121-1) et le RGPD.
Le principe fondamental de proportionnalité
L'employeur ne peut apporter aux droits des personnes et aux libertés individuelles que des restrictions strictement justifiées par la nature de la tâche à accomplir. En clair : si vous pouvez assurer la sécurité de vos ouvriers ou chauffeurs par un moyen moins intrusif que la géolocalisation en temps réel, vous devez privilégier cette alternative.
La CNIL (Commission Nationale de l'Informatique et des Libertés) ne s'oppose pas par principe à la technologie. Elle reconnaît que, dans des secteurs comme le BTP ou la logistique, savoir où se trouve un collaborateur peut sauver des vies ou optimiser une chaîne complexe. Cependant, elle refuse catégoriquement que ces outils deviennent des instruments de "filature électronique" permanente.
L'enjeu pour les directions RH et sécurité est donc de définir des finalités précises avant même l'achat du matériel. Le but n'est pas de collecter de la donnée pour "voir", mais de collecter le strict minimum pour agir sur la sécurité et l'efficacité opérationnelle.
2. Où s'arrête le suivi ? Les 5 cas d'usage autorisés (et les lignes rouges)
La mise en place d'un dispositif de géolocalisation ne peut se faire "par défaut". La CNIL a identifié des finalités très spécifiques qui rendent le traitement licite. En dehors de ces clous, l'entreprise s'expose à une requalification juridique immédiate.
SÉCURITÉ
Protection des travailleurs isolés (PTI/DATI) ou intervention d'urgence en zone à risques.
LOGISTIQUE
Optimisation des tournées et gestion des ressources en temps réel (ex: technicien le plus proche).
FACTURATION
Justifier une prestation de transport ou de service liée directement au trajet parcouru.
OBLIGATION LÉGALE
Transport de matières dangereuses ou convois exceptionnels imposés par la loi.
SURVEILLANCE PERMANENTE
Suivre un salarié en continu (flicage électronique) pour contrôler son comportement.
VIE PRIVÉE
Traçage pendant les temps de pause, les repas ou les trajets domicile-travail.
LIMITES DE VITESSE
Utiliser le GPS pour sanctionner un excès de vitesse (prérogative exclusive de l'État).
AUTONOMIE TOTALE
Géolocaliser des cadres ou VRP disposant d'une liberté totale d'organisation.
Le cas critique du temps de travail
La géolocalisation pour contrôler les horaires est une solution de dernier recours. La jurisprudence de la Cour de cassation est ferme : si vous pouvez utiliser des rapports d'activité manuels (même moins précis), vous ne pouvez pas imposer le GPS pour cette seule finalité.
En résumé, la technologie doit servir l'activité, et non l'inverse. L'employeur doit être capable de prouver que chaque donnée collectée répond à un besoin métier réel et documenté dans son registre des traitements.
3. EPI connectés et DATI : protéger la vie sans espionner l'ouvrier
Sur les chantiers et dans les usines, les Équipements de Protection Individuelle (EPI) deviennent "intelligents". Casques, gilets de haute visibilité ou chaussures de sécurité intègrent désormais des capteurs capables de détecter une chute, une immobilité prolongée ou la proximité d'un engin de chantier. Si ces dispositifs, souvent appelés DATI (Dispositif d'Alarme pour Travailleur Isolé), sont essentiels pour la sécurité, ils posent un défi majeur : ils sont portés à même le corps du salarié.
Pour la CNIL, l'EPI connecté ne doit pas devenir un mouchard de productivité. La règle d'or est la suivante : la géolocalisation ne doit être activée ou consultée qu'au moment précis où une alerte est déclenchée.
- Minimisation : Pas de suivi des déplacements "pas à pas" durant la journée.
- Données de santé : Le rythme cardiaque ou la température sont des données "sensibles" (Art. 9 du RGPD). Leur collecte est en principe interdite, sauf nécessité absolue et anonymisation stricte.
- Edge Computing : Les données doivent être traitées localement par l'objet. Seule l'alerte de danger remonte au superviseur.
Analyse d'un Gilet Connecté
En conclusion sur ce point, l'EPI doit rester ce qu'il est : un outil de protection. Son intelligence logicielle doit être mise au service de la vie de l'ouvrier, et non devenir un instrument de contrôle de sa productivité.
4. Transparence et bouton "OFF" : les droits non négociables du salarié
La mise en place d'un système de suivi n'est pas une décision unilatérale "secrète". Pour être conforme au RGPD et au Code du travail, l'employeur doit respecter un protocole de transparence rigoureux. Sans ce formalisme, les données collectées seront jugées illicites devant un tribunal, rendant toute sanction disciplinaire impossible.
1. Information Individuelle
Chaque salarié doit être informé (par écrit) de la finalité du dispositif, de l'identité du responsable, de la durée de conservation et de ses droits d'accès.
2. Droit à la Déconnexion
Le dispositif doit techniquement permettre au salarié de désactiver la localisation pendant ses temps de pause, ses repas ou ses trajets privés.
3. Consultation du CSE
L’avis du Comité Social et Économique est obligatoire avant toute installation. L'absence de consultation constitue un délit d'entrave.
Le "Bouton Vie Privée" : une obligation technique
La CNIL est intraitable sur ce point : l'employeur n'a aucun droit de regard sur la position géographique d'un véhicule de fonction en dehors des heures de service. Si le véhicule est utilisé à des fins personnelles (week-ends, congés), le salarié doit pouvoir couper le signal manuellement.
Note : L'employeur peut toutefois demander un rapport sur le nombre de désactivations pour vérifier qu'elles n'ont pas lieu durant les heures de travail effectives.
Enfin, n'oubliez pas que tout salarié dispose d'un droit d'accès à ses données. Si un conducteur ou un ouvrier demande l'historique de ses positions, l'entreprise a l'obligation de lui fournir dans un délai d'un mois, sous peine de plainte directe auprès de la CNIL.
5. AIPD et Sanctions : ce que vous risquez en cas de "surveillance excessive"
Depuis l'entrée en vigueur du RGPD, la CNIL dispose d'un pouvoir de sanction dissuasif. Pour la géolocalisation des salariés, considérée comme une "surveillance systématique de personnes vulnérables" (en raison du lien de subordination), l'entreprise doit souvent réaliser une AIPD (Analyse d'Impact relative à la Protection des Données). Ce document obligatoire permet de prouver que vous avez anticipé les risques pour la vie privée et mis en place des garde-fous.
Exemples de sanctions récentes
| Secteur / Entreprise | Montant | Motif de la condamnation |
|---|---|---|
| Location de véhicules (Cityscoot) | 125 000 € | Géolocalisation trop fréquente (toutes les 30 secondes) et manque d'information des utilisateurs. |
| Secteur Immobilier | 40 000 € | Surveillance excessive via un logiciel de suivi d'activité et vidéosurveillance constante. |
| Transport Routier | 8 000 € | Collecte excessive de données de localisation et absence d'Analyse d'Impact (AIPD). |
Ces chiffres ne sont pas seulement symboliques. Ils illustrent la vigilance de la "police des données" sur le principe de minimisation : ne collecter que ce qui est strictement nécessaire. Dans le cas de Cityscoot, la CNIL a jugé qu'un relevé toutes les 30 secondes était disproportionné pour la simple gestion d'une fin de location.
L'enjeu de la preuve : Au-delà de l'amende administrative, un dispositif jugé illicite rend toutes les données collectées irrecevables devant un conseil de prud'hommes. Un licenciement basé sur une géolocalisation non déclarée ou excessive sera systématiquement annulé.
La sécurité des données est l'autre versant du risque. L'employeur est responsable de la sécurisation des accès (authentification forte) et de la gestion de ses sous-traitants. Un contrat RGPD strict doit lier l'entreprise au fournisseur de la solution de géolocalisation.
6. Checklist de conformité : 7 étapes pour sécuriser votre dispositif
Pour transformer ces contraintes légales en levier de confiance, voici la marche à suivre pour mettre votre entreprise en conformité totale avec les référentiels de la CNIL.
Durées maximales de conservation des données
La conservation indéfinie des données est interdite. Voici les seuils fixés par la CNIL selon l'usage des relevés :
La règle générale de 2 mois prévaut pour la gestion courante. Les durées supérieures nécessitent une justification spécifique.
Sources : Commission Nationale de l'Informatique et des Libertés (cnil.fr) ; Institut National de Recherche et de Sécurité (inrs.fr) ; Code du Travail (Légifrance).
