twitter facebook rss

Articles de presse

Imprimer Texte plus petit Texte plus grand

La géolocalisation des véhicules des salariés : quelle garantie sur la protection de leurs données

mercredi 9 juin 2021

Les nouvelles technologies ne cessent d’apporter des mutations dans différents domaines qu’elles impliquent notamment dans le monde professionnel. Le recours systématique aux TIC sur les lieux de travail devient de plus en plus fréquent. Ainsi, beaucoup de changements se manifestent particulièrement sur la méthode et les conditions de travail. Ces outils technologiques sont devenus aujourd’hui des outils de travail car participent à l’exécution des tâches professionnelles de manière efficace.

Ainsi, dans le souci d’assurer la sécurité des personnes et des biens ou encore de faciliter l’activité de l’entreprise, certains dispositifs peuvent être utilisés pour contrôler les activités des salariés. Toutefois, à cette occasion, cela pourrait entrainer une violation des droits et libertés fondamentales des salariés.

D’abord, il est important de préciser que le salarié a droit au respect de sa vie privée dans le monde professionnel. Ce principe est consacré en France par l’arrêt Nikon1. Au Sénégal, la CDP a également reconnu ce principe concernent l’affaire Afrique pétrole2. Il s’agit donc de trouver un équilibre entre l’intérêt de l’entreprise et le respect des droits et libertés individuelles.

Dans le cadre de cette étude, nous allons nous intéresser à la géolocalisation des véhicules en entreprise. D’ailleurs, la CDP a récemment publié une délibération relative aux traitements mis en œuvre dans le cadre de l’exploitation d’un système de géolocalisation de véhicules.

Les dispositifs de géolocalisation permettent aux employeurs de prendre connaissance de la position géographique de leurs salariés, à un instant donné ou en continu, par la localisation des véhicules mis à leur disposition pour l’accomplissement de leur mission. Les systèmes de géolocalisation des véhicules sont basés sur le traitement d’informations issues de satellites (GPS) couplés à l’utilisation d’un réseau de communications électroniques.

La géolocalisation, un dispositif susceptible de porter atteinte aux droits et libertés des salariés.

Selon le dictionnaire « larousse.fr », la géolocalisation est une « technique de détermination de la situation géographique précise d’un lieu ou, à un instant donné, d’une personne, d’un véhicule, d’un objet, etc. ». Pour la CNIL, c’est un dispositif permettant aux employeurs privés ou publics de prendre connaissance de la position géographique, à un instant donné ou en continu, des employés par la localisation d’objets dont ils ont l’usage (badge, téléphone mobile) ou des véhicules qui leur sont confiés. Avec le développement de la technologie de géolocalisation, les véhicules ne peuvent plus uniquement trouver des itinéraires via le GPS. Désormais, les entreprises peuvent utiliser le GPS pour trouver des véhicules, peu importe où ils se trouvent sur la route.

Selon la CNIL, « ces traitements, en ce qu’ils permettent de collecter la donnée relative à la localisation du véhicule dont un employé déterminé a l’usage et d’identifier ainsi les déplacements de cet employé, portent sur des données à caractère personnel »3. C’est dire que ces informations permettent d’identifier indirectement une personne et rentrent alors dans la définition de données à caractère personnel prévue par l’article 4.6 de la loi sur les données à caractère personnel4.

Les systèmes de géolocalisation sont aujourd’hui des dispositifs très accessibles aux entreprises et sont devenus de plus en plus présents dans le milieu.

Cependant, l’utilisation de ces dispositifs dans les véhicules de fonctions ou de services, si elle ne fait pas l’objet d’un encadrement et d’un contrôle rigoureux, pourrait ouvrir la voie à toutes dérives et porter atteinte à la vie privée des salariés. En effet l’employeur serait tenté de s’immiscer dans la vie privée de son employé en prenant connaissance de ses lieux de fréquentations en dehors de ses temps de travail, y compris ces heures de pause.

La géolocalisation, un dispositif soumis à des finalités limitées

La CDP nous rappelle dans sa délibération, les finalités de la mise en place d’un dispositif de géolocalisation. Les données doivent être collectées pour des finalités déterminées, explicites et légitimes et ne peuvent être utilisées ultérieurement de manière incompatible avec ces finalités.

Il s’agit précisément, pour les véhicules de fonction et de services des entreprises publiques et privées, de la gestion de la flotte de véhicules, de la sécurité des personnes et des véhicules, du contrôle à temps réel de trajets et itinéraires et production de rapports. Le recours à un système de géolocalisation peut se faire aussi pour le respect d’une obligation légale ou réglementaire imposant la mise en œuvre de ce dispositif, en raison du type de transport ou de la nature des biens transportés, également pour le contrôle des règles d’utilisation du véhicule définies par l’entreprise propriétaire.

Ces finalités listées par la CDP sont perçues comme des « garde-fous » visant à prévenir contre les éventuelles utilisations disproportionnées du dispositif de géolocalisation et qui seraient susceptibles de porter atteinte aux droits et libertés des salariés. Dès lors, un dispositif de géolocalisation installé dans un véhicule mis à la disposition d’un employé ne pourrait être utilisé pour contrôler le respect des limitations de vitesse, pour contrôler un employé en permanence, pour collecter la localisation en dehors du temps de travail ou encore pour calculer le temps de travaildes employés alors qu’un autre dispositif existe déjà.

Le contrôle du respect de ces finalités peut se faire, en amont, à l’occasion de la déclaration du traitement à laquelle est soumis l’employeur car, en effet, l’exploitation des systèmes de géolocalisation est soumise au régime juridique de la déclaration normale auprès de la CDP. Toutefois, lorsqu’il y’a une interconnexion à d’autres systèmes, ou que les données sont transférées vers un pays tiers, le système de géolocalisation est par conséquent soumis à une autorisation.

A cela s’ajoute le respect des principes généraux gouvernant le traitement des données comme le principe de proportionnalité et le principe de transparence.

Le dispositif de géolocalisation ne doit pas collecter toutes catégories de données

Pour l’atteinte des finalités mentionnées plus haut, la CDP a également précisé dans sa délibération, les catégories de données à traiter dans le cadre de l’exploitation d’un tel dispositif. Il s’agit précisément des données d’identification des employés (nom, prénom, fonction, numéro de matricule) et du véhicule (marque et numéro d’immatriculation), les données relatives à la localisation du véhicule et celles relatives aux dates et heures d’activation et de désactivation des systèmes de géolocalisation, pendant et en dehors des heures des heures de travail.

Ces données doivent cependant être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et traitées.

Elles ne peuvent non plus être conservées de manière indéfinie. Les données doivent être conservées pendant une durée qui n’excède pas la période nécessaire aux finalités pour lesquelles elles ont été collectées ou traitées. La CDP a fixé un délai de deux (2) ans pour la conservation des données d’identification des personnes physiques et de localisation, à compter de leur collecte. Au-delà de cette durée, elles doivent être archivées de manière sécurisée ou supprimées.

L’obligation pour l’employeur d’assurer la sécurité des données

Au-delà du respect des principes de base gouvernant le traitement, certaines obligations incombent aussi à l’employeur. Il doit prendre certaines mesures concernant la sécurité et la confidentialité des données personnelles des salariés dans le cadre d’un traitement.

Il est tenu de prendre des mesures techniques et organisationnelles pour assurer la sécurité des données conformément aux dispositions de l’article 71 de la loi.

Il doit s’assurer à cet effet que tout accès non autorisé aux données ne soit possible et empêcher notamment qu’elles soient déformées ou endommagées. Une analyse de risques sera alors nécessaire pour évaluer les mesures de sécurité adéquates pour la mise en place d’un dispositif de géolocalisation.

Ces obligations sont également valables dans le cadre de l’utilisation des outils ou logiciels et plateformes développées ou proposées par des tiers pour le traitement des données.

En cas de recours à un sous-traitant pour la mise à disposition et la gestion du dispositif, les mêmes obligations incombent à celui-ci. L’employeur doit, par ailleurs, faire recours à un sous-traitant qui apporte des garanties suffisantes pour le respect de ces obligations et lui faire signer un engagement de confidentialité.

Le droit des salariés au contrôle de leurs données

Comme évoqué au début, toute personne a droit au respect de sa vie privée quel qu’en soit le milieu. Le législateur a expressément consacré des droits visant à protéger les données personnelles de la personne concernée dans le cadre du traitement. Le salarié bénéficie desdits droits notamment le droit à l’information préalable, le droit d’accès, le droit d’opposition et le droit à la rectification ou de suppression.

L’information préalable des salariés de l’existence du dispositif de géolocalisation est un aspect déterminant dans le cadre du processus de cybersurveillance car, nul ne peut être surveillé à son insu et toute personne dispose d’un droit de regard sur ses propres données.

L’employeur peut formellement informer par note de service, par note d’information ou par tout document d’information dûment notifié aux employés concernés.

Ces informations concernent l’identité de l’exploitant du système de géolocalisation et du sous-traitant, le cas échéant ; la ou les finalités du système ; les catégories de données collectées ou traitées ; les règles d’activation et de désactivation du système ; les mesures de sécurité prises ; les mesures de protection de la vie privée des salariés et les modalités d’exercice des droits d’accès, de rectification et d’opposition.

Pour assurer le respect de la vie privée des salariés, il est fait obligation aux entreprises de prendre un certain nombre de mesures dans l’utilisation d’un système de géolocalisation.

Ces mesures consistent notamment en la désactivation du système à l’issue des horaires de travail ou durant les heures de pause. Ceci peut résulter d’une programmation du logiciel par l’entreprise ou offrir à l’employé, la possibilité de le faire lui-même de manière simple. A défaut de la possibilité de désactiver le système en dehors des horaires de travail, les données collectées durant ces heures ne peuvent pas être utilisées pour prendre des décisions à l’encontre des employés.

Il s’agit également de s’engager formellement à l’égard des employés de ne pas porter atteinte à leur vie privée et de faire signer un engagement aux employés à utiliser les véhicules conformément aux règles prédéfinies par l’entreprise.

Quelques réflexions critiques sur le cadre juridique relatif au traitement des données de géolocalisation des salariés.

Sur les formalités préalables

La CDP a retenu le régime de la déclaration normale pour le traitement de données issues des dispositifs de géolocalisation. Cependant, la loi lui offre la possibilité de prévoir des normes simplifiées de déclaration pour les catégories de traitement de données qui ne sont pas, en principe, susceptible de porter atteinte à la vie privée des personnes dans des conditions régulières. La CDP a déjà eu à prendre des mesures allant dans ce sens et dont la forme reste très similaire à celle concernant la géolocalisation.

En outre, la règlementation étant dans une logique de suppression de certaines formalités préalables comme l’atteste le projet de loi sur les données personnelles, il serait judicieux de procéder à un allègement des formalités préalables pour les traitements de données de géolocalisation en prévoyant une norme simplifiée de déclaration afin d’inciter davantage les entreprises à se conformer à la législation.

Moustapha KANE, juriste numérique/DPO et Mouhamed Nd. BOCOUM, juriste spécialisé en droit du numérique

(Source : Social Net Link, 9 juin 2021)

BATIK

Inscrivez-vous a BATIK

Inscrivez-vous à notre newsletter et recevez toutes nos actualités par email.

Navigation par mots clés

INTERNET EN CHIFFRES

- Bande passante internationale : 172 Gbps
- 4 FAI (Orange, Arc Télécom, Waw Télécom et Africa Access)
- 15 154 400 abonnés Internet

  • 14 826 621 abonnés 2G+3G+4G (98,76%)
    • 2G : 22,99%
    • 3G : 41,61%
    • 4G : 35,40%
  • 186 225 abonnés ADSL/Fibre (1,24%)
  • 139 205 clés et box Internet (0,90% )
  • 2 349 abonnés aux 4 FAI (0,02%)
  • Internet fixe : 1,20%
  • Internet mobile : 98,80%

- Liaisons louées : 4 019

- Taux de pénétration des services Internet : 90,71%

(ARTP, 31 mars 2021)

- 9 749 527 utilisateurs
- Taux de pénétration : 58,20%

(Internet World Stats 31 décembre 2018)

- 6693 noms de domaine actifs en .sn

(NIC Sénégal, avril 2020)

TÉLÉPHONIE EN CHIFFRES


Téléphonie fixe

- 3 opérateurs : Sonatel, Expresso et Saga Africa Holdings Limited
- 236 763 abonnés
- 195 398 résidentiels (82,53%)
- 41 365 professionnels (17,47%)
- Taux de pénétration : 1, 41%

(ARTP, 31 mars 2021)


Téléphonie mobile

- 3 opérateurs (Orange, Free et Expresso)
- 19 420 501 abonnés
- Taux de pénétration : 116,25%

(ARTP, 31 mars 2021)

FACEBOOK

3 900 000 utilisateurs

Taux de pénétration : 23%

- Facebook : 3,2 millions

- Instagram : 1,2 million

- LinkedIn : 680 000

- Twitter : 148 400

(Hootsuite, Février 2021)