La géolocalisation des salariés, vue par la CNIL et les juges

SECURITE DES LIEUX DE TRAVAIL || Cybersécurité
/
20/03/2018 - Sébastien MILLET

A la faveur des innovations technologiques (objets connectés, etc.), de nombreuses entreprises ont recours à des outils de géolocalisation de véhicules utilisés par leur personnel, ou s’interrogent sur l’opportunité de mettre en place de tels dispositifs.


Rappelons que la géolocalisation est une technique permettant ici à l’employeur de prendre connaissance de la position géographique des employés, à un instant donné ou en continu, grâce à la localisation des véhicules mis à leur disposition pour leur mission.

Le contexte de mise en conformité des pratiques de l’entreprise au regard du Règlement général à la protection des données personnelles (Règlement UE n° 2016/679 du 27 avril 2016), qui constitue LE grand chantier 2018 pour toutes les entreprises, vient mettre au premier plan les enjeux en termes de garanties que doivent offrir les traitements de données personnelles, afin de protéger les personnes concernées (cf. https://www.preventica.com/actu-chronique-protection-donnees-personnelles-chantier-rh.php ).

Une personne physique peut en effet être rendue identifiable au regard de ses données de localisation (cf. RGPD, art. 4). Ces données sont loin d’être neutres, comme en atteste la récente polémique autour de l’utilisation inappropriée par des agents de renseignement ou des militaires en mission d’applications sportives basées sur la technologie GPS, et dont le détournement ou le recoupement avec d’autres informations publiques permet de connaître leurs parcours ou leurs habitudes, ce qui peut les exposer à des risques.


1°) Position de la CNIL

Pour l’heure, en ce qui concerne les entreprises, l’utilisation d’outils de géolocalisation de véhicules utilisés par les salariés pour l’accomplissement de leur mission est régie en France par la norme simplifiée n° NS-051 élaborée par la CNIL (cf. délibération n° 2015-165 du 4 juin 2015),  que ce type de dispositif fait partie des catégories de traitements de données à caractère personnel les plus courants.

Celle-ci fixe le cadre de conformité applicable, sur la base duquel la CNIL considère que le dispositif ne porte pas atteinte à la vie privée ou aux libertés.

Dans ce travail d’équilibre entre intérêts légitimes de l’entreprise, protection de la vie privée et principes fondamentaux du droit du travail, la CNIL rappelle tout d’abord que le recours à la géolocalisation n’est licite que s’il répond à une des finalités limitatives, à savoir :

  • Le respect d’une obligation légale ou réglementaire imposant la mise en œuvre d’un dispositif de géolocalisation en raison du type de transport ou de la nature des biens transportés ;
  • Le suivi et la facturation d’une prestation de transport de personnes ou de marchandises ou d’une prestation de services directement liée à l’utilisation du véhicule, ainsi que la justification d’une prestation auprès d’un client ou d’un donneur d’ordre ;
  • La sûreté ou la sécurité de l’employé lui-même ou des marchandises ou véhicules dont il a la charge, en particulier la lutte contre le vol du véhicule ;  
  • Une meilleure allocation des moyens pour des prestations à accomplir en des lieux dispersés, notamment pour des interventions d’urgence ;
  • Le contrôle du respect des règles d’utilisation du véhicule définies par le responsable de traitement, sous réserve de ne pas collecter une donnée de localisation en dehors du temps de travail du conducteur.

 
La CNIL précise aussitôt que « le traitement peut avoir pour finalité accessoire le suivi du temps de travail, lorsque ce suivi ne peut être réalisé par un autre moyen, sous réserve notamment de ne pas collecter ou traiter de données de localisation en dehors du temps de travail des employés concernés » (cf. NS-051, art. 2).  

Les données susceptibles d’être traitées dans ce cadre sont limitées à ce qui s’avère strictement nécessaire au regard de la finalité poursuivie (cf. art. 3, ce qui renvoie au principe de minimisation de la collecte à la source prévu par le RGPD). Parmi celles-ci figurent notamment les données d’activation et de désactivation du dispositif pendant le temps de travail.

En revanche, le dispositif ne doit pas permettre de traiter des données relatives au respect de la vitesse maximale (il s’agirait sinon d’un traitement indirect de données d’infraction, dont le traitement est interdit en principe aux personnes de droit privé), ni de collecter de la donnée de localisation hors du temps de travail du conducteur (cette fois pour des raisons de vie privée, ce qui vise notamment les trajets domicile-lieu de travail, mais également les périodes de pauses).  


D’autres prescriptions sont posées concernant :

  • La limitation d’accès aux seules personnes habilitées à les traiter et aux destinataires légitimes ;
  • La limitation des durées de conservation des données, fixée à 2 mois en principe (ce qui correspond à la durée de prescription des faits fautifs en matière disciplinaire), et pouvant être par dérogation portée à 5 ans concernant les données relatives aux horaires effectués lorsque le traitement a pour finalité accessoire le suivi du temps de travail et que celui-ci ne peut être assuré par un autre moyen (la CNIL retient donc une période potentiellement plus longue que le délai de prescription en matière de paiement du salaire, ramenée à 3 ans par la loi du 14 juin 2013 – cf. C. Trav., L3245-1 ; sa position pourrait donc évoluer à l’avenir sous l’empire du RGPD).  
  • L’information des personnes et les modalités leur permettant d’exercer effectivement leurs droits (cf. notamment fonctionnalité de désactivation à l’issue du temps de travail ou en pause ; interdiction d’activation pour les représentants du personnel pendant l’exercice de leur mandat).
  • Les mesures de sécurité à prendre, notamment en termes de confidentialité et d’intégrité (ce qui pose en particulier la question des technologies utilisées, des flux et  transferts de données et des garanties offertes par les sous-traitants).  

Sous l’empire du RGPD, ces principes resteront assurément une référence en termes de bonnes pratiques, tant pour l’autorité de contrôle que pour les responsables de traitements et leurs sous-traitants.

Sauf à ce que la CNIL intègre à l’avenir ces dispositifs dans la liste des traitements dispensés d’analyse d’impact relative à la protection des données, celle-ci pourra selon les cas devenir obligatoire en cas de risque élevé pour les droits et libertés des personnes physiques (cf. RGPD, art. 35).


2°) La vision des juges

Hasard ou non du calendrier à l’approche de la date du 25 mai 2018 (entrée en vigueur du RGPD), plusieurs décisions viennent d’être rendues par les plus hautes instances juridictionnelles concernant la géolocalisation :

  • Sur le plan du contentieux judiciaire (cf. Cass. Soc. 20 décembre 2017, n° 16-12569) : dans cet arrêt, la Cour de cassation approuve une Cour d’appel d’avoir considéré que l’employeur n’avait pas commis de manquement rendant impossible la poursuite du contrat de travail du salarié, à partir du moment où la preuve avait été rapportée qu’il avait bien organisé une réunion d’information du personnel suivie d’une déclaration à la CNIL avant de procéder à l’installation du dispositif, puis informé le salarié par courrier sur les finalités de la géolocalisation (courant 2011).

    Le salarié, qui reprochait à la Cour d’appel d’avoir considéré que ce formalisme était suffisant et de ne pas avoir suffisamment recherché si le contrôle du temps de travail ne pouvait pas être effectué par un autre moyen (plannings, bons d’intervention, etc.), se voit débouté.

    Ce formalisme a minima suffisait à assurer la licéité du traitement, faisant ainsi échec à la stratégie de prise d’acte de la rupture du salarié aux torts de l’entreprise.

    On peut voir derrière cette souplesse un signal positif pour les entreprises, eu égard à l’importante complexité auxquelles celles-ci sont confrontées sur le plan juridique, technique et organisationnelle pour être en conformité.

    A cet égard, le RGPD vient changer la donne du fait de la suppression du formalisme de déclaration préalable à la CNIL.

    Il faut toutefois s’attendre à ce que cela déplace le risque contentieux et le contrôle des tribunaux sur la question du formalisme à l’égard des salariés eux-mêmes (et de leurs représentants – cf. CSE), tant sur le plan quantitatif que qualitatif.

    Le formalisme ne fait pas tout. Sur le fond, une vigilance particulière est requise s’agissant du respect des principes fondamentaux, notamment en matière de finalités du traitement. La jurisprudence a ainsi déjà eu l’occasion de sanctionner une entreprise pour détournement des finalités d’un dispositif de géolocalisation par rapport à celles qui avaient été déclarées à la CNIL et dont le salarié avait été informé : « Mais attendu, d'abord, que selon l'article L. 1121-1 du code du travail, nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché ; que l'utilisation d'un système de géolocalisation pour assurer le contrôle de la durée du travail, laquelle n'est licite que lorsque ce contrôle ne peut pas être fait par un autre moyen, n'est pas justifiée lorsque le salarié dispose d'une liberté dans l'organisation de son travail » (cf. Cass. Soc. 3 novembre 2011, n° 10-18036). Dans la mesure où ce dispositif s’avérait incompatible avec la libre organisation du travail du salarié, ce manquement de l’employeur a été jugé comme étant suffisamment grave pour rendre à lui seul impossible la poursuite du contrat de travail (la prise d’acte de rupture par le salarié produisant alors les effets d’un licenciement sans cause réelle et sérieuse).  

    Compte tenu renforcement de la responsabilisation (et de la responsabilité) des acteurs, le RGPD ne peut que conduire à ce que la jurisprudence continue de faire preuve de sévérité, d’autant que la protection des personnes à l’égard du traitement de données personnelles les concernant est érigé en « droit fondamental ».

  • Sur le plan du contentieux administratif (cf. Conseil d’Etat 15 décembre 2017, n° 403776) : le Conseil d’Etat rejette le recours pour excès de pouvoir formé par une société contre une décision de mise en demeure prononcée en juillet 2016 par la CNIL suite à un contrôle sur place, et qui lui faisait injonction de cesser l’usage des données de géolocalisation en temps réel pour contrôler le temps de travail de ses salariés itinérants. Au regard des textes applicables, le Conseil d’Etat reprend à son compte la position de la CNIL et s’aligne sur la jurisprudence sociale, en jugeant que « l’utilisation par un employeur  d’un système de géolocalisation pour assurer le contrôle de la durée du travail de ses salariés n’est licite que lorsque ce contrôle ne peut pas être fait par un autre moyen, fût-il moins efficace que la géolocalisation. En-dehors de cette hypothèse, la collecte et le traitement de telles données à des fins de contrôle du temps de travail doivent être regardés comme excessifs (…) ».

    Cette affaire illustre la possibilité pour l’autorité de contrôle d’imposer à l’entreprise de mettre en conformité ses pratique en cessant de traiter certaines données lorsque cela s’avère excessif au regard des finalités, sans pour autant lui interdire complètement de mettre en œuvre son dispositif (en l’occurrence, l’employeur était autorisé à continuer à traiter les données à des fins de facturation clients mais, ajoute le Conseil d’Etat, peu important que l’entreprise n’ait pas de moyen alternatif pour pouvoir déterminer avec précision le temps de ses interventions).

    Ce pouvoir de modulation sera d’ailleurs capital dans le cadre des nouvelles prérogatives de contrôle et de sanction dévolues à la CNIL pour la mise en œuvre du RGPD (actuellement en cours d’adaptation via le projet de loi relatif à la protection des données personnelles).

    Rappelons que la CNIL dispose d’une panoplie de mesures, parmi lesquelles figure l’amende administrative, modulable, et dont le montant maximal sera considérablement alourdi à des fins dissuasives (cf. RGPD, art. 83 – A comparer avec l’amende de 100 000 euros prononcée en 2011 par la CNIL pour défaut de déclaration et d’information sur l’intégration d’un service de géolocalisation dans un moteur de recherches internet – Délibération n° 2011-035 du 17 mars 2011).


  • Sur le plan du contentieux européen enfin (cf. CEDH, 8 février 2018, n° 31446/12) : le contexte était différent puisqu’il intéressait la matière pénale et la possibilité pour les services d’enquête français de recourir à la géolocalisation d’un véhicule pour surveiller en temps réel et à son insu une personne suspectée de trafic de stupéfiants. Dans cette affaire, la Cour européenne des droits de l’Homme considère que cette mesure d’investigation constitue une ingérence dans la vie privée telle que protégée par l’article 8 §1 de la Convention européenne et que la loi française de l’époque (2009) n’encadrait pas cette possibilité de manière suffisamment claire et précise, ce à quoi a contribué à remédier une loi ultérieure n° 2014-872 du 28 mars 2014 relative à la géolocalisation, venant compléter le Code de procédure pénale et le Code des douanes.

    Bien qu’il ne soit pas en l’occurrence question de protection des données personnelles, il est clair que ces dispositions tirées du droit international viennent assurer un corpus de textes protecteurs pour les personnes (face à l’Etat ici), en complément du RGPD.

    Rapporté au monde de l’entreprise, le contentieux est généralement alimenté pour l’essentiel par des questions relatives à la protection de la sphère de vie privée du salarié au travail (vidéosurveillance, messageries, etc.), mais il ne fait guère de doute qu’avec l’explosion des traitements de données relatives aux salariés, le contentieux autour de la protection des données personnelles devrait s’amplifier à l’avenir.

    Les entreprises doivent s’y préparer.