Le 8 avril 2021[1], la Commission Nationale pour la Protection des Données (« CNPD ») a infligé une amende de 2.800.- EUR à un employeur dont le dispositif de géolocalisation était exploité en violation du Règlement Général sur la Protection des Données[2] (« RGPD »).
Cette décision apporte des éclaircissements extrêmement utiles sur la manière dont l’autorité de contrôle applique les dispositions du RGPD et de la loi du 1er août 2018[3], l’occasion d’en déduire quelques recommandations pratiques pour les employeurs.
I. Analyse de la décision
Au cours du mois de mars 2019, les agents de la CNPD ont effectué une visite au sein des locaux d’une société active dans la prestation de services de conseils, d’installations et de maintenance en technologie.
Le contrôle de conformité au RGPD visait le dispositif de géolocalisation des véhicules de service que le personnel de cette société utilise pour les déplacements auprès des clients.
La société a indiqué avoir mis en place la géolocalisation des véhicules de service aux fins suivantes :
A. Constats d’enquête
À l’issue de la phase d’enquête, l’employeur s’est vu adresser la liste des infractions au RGPD relevées par les agents de la CNPD. En l’occurrence, des infractions aux articles 5, 13 et 32 du RGPD ont été constatées.
Le RGPD impose de limiter la conservation des données faisant l’objet du traitement à la durée qui est strictement nécessaire à la réalisation de sa finalité.
En l’espèce, l’employeur avait indiqué aux enquêteurs que les données issues de la géolocalisation étaient conservées durant 12 mois, aux fins de facturation des prestations effectuées par les salariés.
Or, dans les faits, les données de géolocalisation les plus anciennes remontaient à plus de 2 ans. De plus, la durée de conservation de 12 mois fixée par l’employeur ne s’appliquait qu’à la finalité liée à la facturation des prestations fournies aux clients.
La CNPD a considéré qu’en omettant de prévoir une durée de conservation spécifique pour chacune des finalités poursuivies par le dispositif de géolocalisation, l’employeur avait violé l’exigence de limitation de la conservation imposée par l’article 5 (1) (e) du RGPD.
Pour rappel, tout responsable de traitement (dans le présent cas d’espèce, l’employeur), se doit de fournir une série d’informations aux personnes dont il traite les données personnelles (p.ex. les salariés, le personnel intérimaire, les consultants, etc.).
Ces informations sont exhaustivement listées à l’article 13 du RGPD.
En l’occurrence, le personnel de la société était informé de la géolocalisation des camionnettes de service au moyen d’une étiquette apposée à l’arrière du véhicule. L’étiquette en question mentionnait une surveillance par « GPS ».
Par ailleurs, une notice indiquant que le véhicule était « muni d’un système de géolocalisation » était également jointe aux documents de bord du véhicule de service remis aux salariés.
Cependant, l’employeur n’a pas pu démontrer avoir fourni aux salariés l’ensemble des informations exigées par l’article 13 du RGPD, lesquelles auraient notamment dû inclure : l’identité du responsable du traitement, les finalités de la géolocalisation, ou encore l’information relative aux droits des utilisateurs (i.e. droit d’accès, droit d’opposition, droit de rectification, etc.).
De fait, la CNPD a constaté que les dispositions de l’article 13 du RGPD n’avaient pas été respectées.
Lors des opérations de contrôle, les agents de la CNPD ont constaté que toutes les personnes habilitées à accéder au logiciel d’exploitation du système de géolocalisation utilisaient à cet effet un identifiant et un mot de passe communs.
Aux termes de cette décision, la CNPD rappelle l’importance d’attribuer à chacune des personnes habilitées à accéder aux données de géolocalisation un compte d’accès personnalisé et un identifiant individuel associé à un mot de passe personnel, confidentiel et renouvelable périodiquement.
La CNPD indique très clairement qu’il s’agit-là d’« exigences minimales nécessaires en termes de sécurité ».
À défaut pour l’employeur d’avoir adopté cette approche, les modalités d’accès au logiciel de géolocalisation ont été jugées contraires aux exigences du RGPD en matière de sécurité des traitements.
B. Sanction
L’amende administrative n’est pas une sanction automatique en cas de violation du RGPD, de sorte qu’il appartient à l’autorité de protection d’apprécier l’opportunité d’en infliger une au responsable de traitement défaillant.
Dans le présent cas, la sanction financière s’explique notamment par :
La CNPD a néanmoins tenu compte des circonstances suivantes :
Compte tenu des efforts déployés par l’employeur pour se conformer à la règlementation et de la bonne foi qui lui a été reconnue, l’amende a été fixée à 2.800.- EUR en lieu et place des 4.000.- EUR que préconisait le responsable d’enquête.
Outre l’amende administrative, l’employeur s’est vu enjoint à corriger les manquements constatés au cours de l’enquête et à en fournir la preuve documentée dans les deux mois de la notification de la décision.
II. Recommandations pratiques
Bien qu’au jour de la rédaction de la présente analyse, la décision est toujours susceptible d’un recours devant le Tribunal administratif, elle permet toutefois de tirer quelques enseignements sur les précautions à prendre par tout employeur qui a recours à la géolocalisation des équipements qu’il met à la disposition de ses salariés.
Les principales recommandations peuvent être résumées comme suit.
i. Fixer une durée de conservation appropriée pour chacune des finalités du traitement
Tout d’abord, il est important de rappeler que la période de conservation des données doit correspondre à la durée qui est strictement nécessaire pour atteindre la finalité concernée. Au-delà de cette limite, les données doivent être rendues anonymes ou être effacées. À défaut, la conservation sera jugée excessive et contraire au RGPD.
Avec cette décision, la CNPD précise en plus qu’une durée de conservation « appropriée et nécessaire » doit être fixée pour chacune des finalités du traitement.
Par conséquent, si la géolocalisation poursuit plusieurs objectifs (p.ex. suivi du temps de travail, facturation des prestations aux clients, etc.) l’employeur doit définir une durée de conservation pour chacun de ces objectifs et en informer les personnes concernées.
Compte tenu de l’exigence de documenter le contenu de l’information fournie (cf. infra), une solution consisterait à élaborer un tableau listant les durées de conservation par type de traitements et de finalités. Ledit tableau pourrait être inséré dans le corps d’une politique générale de confidentialité ou d’une procédure ad hoc traitant de la conservation des données.
Quel que soit le support retenu, l’employeur devra conserver la preuve que les salariés y ont effectivement eu accès.
ii. Limiter la durée de conservation des données de repérage géographique à deux mois maximum
Il ressort de cette décision que les données de géolocalisation ne peuvent être conservées au-delà de deux mois que si la géolocalisation poursuit d’autres finalités que le simple repérage géographique des équipements et qui justifient une durée de conservation plus importante.
Tel est notamment le cas lorsque la géolocalisation des véhicules est utilisée à des fins de mesure du temps de travail des salariés et de calcul de la rémunération afférente[4].
Dans un tel cas de figure, les données pourront être conservées durant les trois années au cours desquelles le salarié est en droit d’introduire une action en paiement d’arriérés de salaire[5].
iii. Documenter le contenu de l’information communiquée aux salariés (et aux autres personnes concernées)
Cette décision donne l’occasion à la CNPD de préciser qu’en vertu du principe de « responsabilité » (« accountability »), l’employeur a l’obligation de documenter le contenu de l’information relative au système de géolocalisation qu’il communique aux salariés.
Ainsi, même si une communication orale n’est pas contraire, en soi, aux exigences du RGPD, la preuve d’une telle communication devra, en revanche, être documentée.
Par ailleurs, afin d’allier les exigences d’exhaustivité, de clarté, de concision et d’accessibilité de l’information à fournir, la CNPD préconise d’adopter une approche par « niveaux ».
Concrètement, un premier « niveau » visera à communiquer aux salariés les informations les plus importantes concernant le système de géolocalisation à savoir : l’identité du responsable du traitement, le détail des finalités poursuivies, les informations liées à leurs droits et finalement toute information ayant une incidence significative sur le traitement (p.ex. recours à la technique du profilage ou aux décisions automatisées).
Ce premier niveau d’information pourrait, par exemple, se matérialiser par des étiquettes ou des pictogrammes apposés sur l’équipement professionnel soumis à géolocalisation.
Les autres informations requises par l’article 13 du RGPD (p.ex. catégories de destinataires, durées de conservation, coordonnées du DPO, etc.) pourraient être communiquées lors d’une seconde phase et/ou sur un support distinct (p.ex. une politique de confidentialité plus complète communiquée par courrier/email ou affichée sur le lieu de travail).
iv. Individualiser les comptes et les identifiants et configurer les accès des personnes habilitées
Chaque personne habilitée à accéder aux données personnelles traitées doit disposer d’un compte, d’identifiants et d’un mode d’authentification individuels.
Il est par ailleurs toujours utile de rappeler que seules les personnes qui ont besoin d’accéder aux données pour accomplir leurs tâches doivent être autorisées à le faire. Dans le même ordre d’idée, selon la nature des tâches, le niveau d’accès aux données personnelles devra être plus ou moins limité.
À titre d’exemple, seul le personnel qui est chargé de la facturation, au sein du département Finances, doit pouvoir accéder aux données de facturation collectées via le dispositif de géolocalisation. Par conséquent, l’accès au logiciel de géolocalisation ne pourra pas être accordé à l’ensemble du département Finances. De plus, ce personnel ne doit pas être autorisé à accéder aux données de géolocalisation qui sont utilisées pour le suivi du temps de travail par exemple.
L’employeur devra donc veiller à ce que la configuration des autorisations tienne compte à tout moment des besoins réels de chaque utilisateur.
v. Initier sans délai les mesures correctrices et assurer une coopération active durant l’enquête
Il ressort de cette décision que la proactivité et le sérieux des démarches entreprises par l’employeur pour se conformer aux dispositions règlementaires ont largement contribué à atténuer la sanction retenue à son encontre.
En effet, à l’issue de la phase d’investigation, le chef d’enquête proposait à la CNPD d’infliger une amende de 4.000.- EUR, laquelle a finalement été réduite au montant de 2.800.- EUR. Il est donc vivement recommandé aux employeurs de mettre en œuvre des mesures correctrices le plus en amont possible du processus d’investigation, avant la délibération de la CNPD, (p.ex. compléter la notice d’information, effacer les données dont la durée de conservation a été atteinte, etc.) et de coopérer pleinement à la procédure d’enquête.
[1]Au jour de la rédaction de cet article, le délai imparti au responsable de traitement pour exercer un recours contre la décision issue de la délibération n° 11FR/2021 du 8 avril 2021 n’a pas expiré.
[2] Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
[3] Loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données (ci-après « loi du 1er août 2018 »).
[4] Il doit s’agir du seul moyen dont dispose l’employeur pour atteindre ces objectifs.
[5] Prescription triennale de l’action en paiement des salaires visée aux articles L. 221-2 du Code du travail et 2277 du Code civil.
