GEOLOCALISATION ET DROIT
/ Avril 2023 /
La géolocalisation permet de localiser géographiquement un objet ou une personne. Ce procédé offre des possibilités d’actions marketing ciblées très avantageuses pour les entreprises et les utilisateurs. Il permet de cerner la personnalité et les habitudes de chaque individu. Néanmoins, l’exploitation de cette fonctionnalité entraîne, fatalement, une surveillance des déplacements dans le temps et l’espace qui peut nuire à la vie privée des individus.
La géolocalisation est une technologie permettant de déterminer, plus ou moins précisément, la localisation d’un objet ou d’une personne par l’intermédiaire d’un système GPS ou d’un téléphone mobile. Ce service est accompli par un réseau de télécommunication.
Cette technologie, initialement conçue et employée par l’Armée américaine, fut démocratisée sous l’impulsion du président américain Bill Clinton en 1993.
Dès lors, une multitude de services basés sur ce système ont vu le jour. Localisation d’objet, personnes, véhicules firent l’objet de ces nouveaux produits, fonctionnant à l’aide de « systèmes de radionavigation par satellites » (GNSS) sur la base de coordonnées géographiques.
À ce jour, et comme le rappelait l’opérateur Orange dans un compte rendu de 2011, « le terminal le plus connu du grand public est le GPS (“Global Positionning System”) ».
Depuis, la plupart des entreprises du Net, et en particulier les « Géants » comme Google, Apple et autres basent une bonne partie de leur modèle économique sur l’emploi de la géolocalisation, notamment au regard de nombre de données personnelles qu’elles produisent.
A présent, la majorité des applications installées sur nos smartphones offre des fonctions de partage de localisation. La géolocalisation est un outil utile lorsqu’elle est utilisée de manière bienveillante. On la retrouve en particulier dans le transport (par exemple de suivre un chauffeur VTC, trouver une trottinette électrique), dans la livraison (suivre la progression d’une livraison en cours), pour assurer la sécurité des biens (pour retrouver sa voiture ou son smartphone par exemple) ou encore dans le sport (certaines applications sportives proposent de retracer l'itinéraire de l'utilisateur lors d'un footing ou d'une randonnée).L’utilisation de la géolocalisation n’est pas sans poser problème notamment lorsqu’elle s’étend aux véhicules des salariés par l’employeur. Cette utilisation est problématique, car elle se situe à la limite de ce qui est permis par le droit. En effet d’un côté il est tout à fait compréhensible qu’un employeur veuille maximiser le travail de ses employés et pour ce faire la géolocalisation de leur véhicule est une bonne solution, car cela permet de suivre leur temps de travail, leur trajet, leur utilisation du véhicule.
Bien que ces technologies soient utiles, elles s’immiscent dans notre quotidien et récupèrent des données à caractère personnel qui peuvent comprendre des risques pour notre vie privée.
Selon l’article 4 du Règlement européen sur la protection des données, une donnée est personnelle dès lors qu’elle permet d’identifier directement ou indirectement un individu personne physique.
Une donnée est personnelle dès lors qu’elle permet d’identifier directement ou indirectement un individu personne physique.
La personne est identifiée directement lorsque son nom apparaît dans un fichier et, indirectement lorsque le fichier comporte des informations l’identifiant (adresse IP, numéro de téléphone…).
Lorsqu’elles sont utilisées et permettent la mise en place de service de geolocalisation, il s’agit d’un traitement qui est strictement encadré par la loi.
Selon la loi de 1978, " Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction " .
De fait, il est important de comprendre comme l’articulation des normes qui régissent le lien entre géolocalisation et droit.
L’une des utilisations les plus problématiques de la géolocalisation est certainement la géolocalisation des véhicules des salariés par l’employeur. Cette utilisation est problématique, car elle se situe à la limite de ce qui est permis par le droit. En effet d’un côté il est tout à fait compréhensible qu’un employeur veuille maximiser le travail de ses employés et pour ce faire la géolocalisation de leur véhicule est une bonne solution, car cela permet de suivre leur temps de travail, leur trajet, leur utilisation du véhicule… Mais de l’autre côté, cela peut aussi constituer une atteinte à leur vie privée.
C’est pour cela que la commission nationale informatique et liberté â encadré cette pratique en mettant en place un certain nombre de recommandations à destination des employeurs. Tout d’abord la CNIL a interdit d’utiliser ce dispositif dans certaines situations.
Besoin de l'aide d'un avocat pour un problème de droit du travail ?
Téléphonez-nous au : 01 43 37 75 63
ou contactez-nous en cliquant sur le lien
La géolocalisation ne peut donc pas être utilisée pour contrôler le respect des limitations de vitesse, pour contrôler le salarié en permanence. Lorsque l’employé utilise son véhicule de fonction en dehors de son temps de travail il est également interdit à l’employeur de contrôler ses déplacements par la géolocalisation. Cette technologie ne peut pas être utilisée en dehors des heures de travail du salarié même si le but est de lutter contre le vol ou vérifier le respect des conditions d’utilisation du véhicule.
La CNIL a aussi interdit cette surveillance pour certains travailleurs bien précis. Par exemple si un employé dispose d’une certaine liberté dans ses déplacements la géolocalisation n’est pas possible. Les représentants du personnel dans le cadre de leur mandat ne peuvent pas non plus être surveillés par un système de géolocalisation.
Les employés doivent être prévenus à l’avance de l’installation d’un système de géolocalisation sur leur véhicule. Ils doivent pouvoir accéder aux données enregistrées et ils doivent pouvoir désactiver le système lorsqu’ils utilisent le véhicule en dehors de leur temps de travail. Mais le nombre ou la durée des désactivations peuvent être vérifiés par l’employeur et il peut le cas échéant demander des explications. S’il considère que le comportement du salarié vis-à-vis de ce système constitue un abus, il peut le sanctionner.
Les informations collectées ne doivent être disponibles que pour un nombre limité de personnes à savoir le personnel habilité des services concernés, l’employeur et le personnel habilité d’un client ou d’un donneur d’ordre. Mais le client ou le donneur d’ordre ne doivent pas connaître le nom de l’employé. Cet ensemble d’informations doit impérativement être protégé.
Un identifiant et un mot de passe doivent par exemple être créés pour accéder au suivi du véhicule en temps réel sur un site internet. Ces informations ne peuvent être conservées que pour une durée limitée : 5 ans si elles sont utilisées pour le suivi du temps de travail ; un an si elles servent à optimiser les tournées ou si elles servent de preuves des interventions réalisées si ces preuves ne peuvent être rapportées autrement ; dans les autres cas elles ne peuvent être conservées plus de deux mois.
I/ Le droit et la géolocalisation
Le RGPD énonce en son chapitre II un certain nombre de principes qui régissent la mise en place d’un traitement de données. Les sociétés exploitantes ou utilisant un service de géolocalisation sont soumises à certaines de ces obligations dans la mesure où un traitement de données personnelles est en question et une possible atteinte à la vie privée des utilisateurs.Les sociétés exploitantes ou utilisant un service de géolocalisation sont soumises à certaines obligations dans la mesure où un traitement de données personnelles est en question et une possible atteinte à la vie privée des utilisateurs.
” Le traitement doit avoir un objectif précis et les données récoltées doivent être en concordance avec cet objectif. Cette finalité ne doit pas être détournée, les données doivent toujours être exploitées dans le même but.
” L’utilisateur doit donner son autorisation avant toute collecte de donnée de localisation.
La localisation peut être ponctuelle ou continue. Lorsqu’elle est ponctuelle, la collecte d’information est limitée dans le temps et l’espace (météo ou trafic routier). Ainsi, la simple demande, par l’utilisateur, d’accéder à un tel service est considérée comme une manifestation de son consentement.
Lorsque la localisation est continue, l’utilisateur doit avoir la possibilité de l’utiliser, ou non, à chaque fois qu’il le souhaite, par l’intermédiaire d’une inscription (bouton, case à cocher).
” Une information précise de la nature du traitement des données doit être apportée aux utilisateurs (type de donnée, durée de conservation, finalité et droits relatifs à ces données).
” Les données personnelles doivent être soumises à des mesures de sécurité adaptées aux risques amenés par le traitement. Dès lors, les responsables du traitement mettent en place une sécurité à la fois physique et logique.
” Les données collectées doivent, nécessairement, jouir d’une date de péremption. Les responsables ont l’obligation de fixer une durée raisonnable de conservation. Le caractère raisonnable s’apprécie en fonction de l’objectif du service et à la durée nécessaire à sa fourniture. Une fois le service fourni, une conservation est possible lorsque les données sont indispensables à la facturation et au paiement des frais d’interconnexion. Si ces données donnent lieu à la conservation d’un historique, elles doivent être rendues anonymes.
Cela dit, il est forcé de constater que la géolocalisation touche également la vie privée des salariés. Le Règlement général sur la protection des données (RGPD) exempt l’employeur de l’obligation de déclaration à la CNIL des systèmes de géolocalisation de véhicules professionnels. Néanmoins, l’employeur demeure toujours soumis à une obligation d’information de ses salariés de l’existence du dispositif en question et des droits qui peuvent en découler. De surcroît, il doit informer et consulter le Comité social et économique au préalable à la mise en place de ce dispositif dans l’hypothèse où ce comité existe et est fonctionnel.
En vertu de l’article L1121-1 du Code du travail: « Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché. » (1)
Dans un arrêt rendu le 15 décembre 2017, le Conseil d’État a affirmé, qu’« il résulte de [l’article L. 1121-1 du Code du travail] que l’utilisation par un employeur d’un système de géolocalisation pour assurer le contrôle de la durée du travail de ses salariés n’est licite que lorsque ce contrôle ne peut pas être fait par un autre moyen, fût-il moins efficace que la géolocalisation. En dehors de cette hypothèse, la collecte et le traitement de telles données à des fins de contrôle du temps de travail doivent être regardés comme excessifs au sens du 3° de l’article 6 de la loi du 6 janvier 1978 précité. » (2)
À ce titre, la Cour de cassation s’est alignée sur cette jurisprudence du Conseil d’État. Il s’agit de l’arrêt de la chambre sociale du 19 décembre 2018 de la Cour de cassation dans lequel elle a illustré le contrôle mis en place en vertu de l’article L1121-1 du Code de travail.
En l’espèce, il s’agissait de la question de la licéité d’un dispositif de géolocalisation mis en place par une société spécialisée dans la distribution de publicités ciblées afin de localiser les salariés chargés de la distribution et de contrôler ainsi leur durée de travail.
La Cour de cassation s’est prononcée en considérant que ce système de géolocalisation est disproportionné quant au but recherché, et ce, sur le fondement de l’article L1121-1 du Code de travail. Les juges de cassation se fondent sur deux raisons principales à savoir que, ce système n’est licite « que lorsque ce contrôle ne peut pas être fait par un autre moyen fût-il moins efficace que la géolocalisation » et que l’usage de ce dernier « n’est pas justifié lorsque le salarié dispose d’une liberté dans l’organisation de son travail ». (3)
Face au développement de la géolocalisation des salariés, la commission nationale informatique et liberté a souhaité encadrer cette pratique en mettant en place un certain nombre de recommandations à destination des employeurs. Tout d’abord la CNIL a interdit d’utiliser ce dispositif dans certaines situations.La CNIL a aussi interdit cette surveillance pour certains travailleurs bien précis. Par exemple si un employé dispose d’une certaine liberté dans ses déplacements la géolocalisation n’est pas possible. Les représentants du personnel dans le cadre de leur mandat ne peuvent pas non plus être surveillés par un système de géolocalisation.
S’il considère que le comportement du salarié vis-à-vis de ce système constitue un abus, il peut le sanctionner.
Ces informations ne peuvent être conservées que pour une durée limitée : 5 ans si elles sont utilisées pour le suivi du temps de travail ; un an si elles servent à optimiser les tournées ou si elles servent de preuves des interventions réalisées si ces preuves ne peuvent être rapportées autrement ; dans les autres cas, elles ne peuvent être conservées plus de deux mois.
D’un autre côté, une autre fonction rendue possible par la géolocalisation a fait l’objet d’un avis de la CNIL. Il s’agit du marketing ciblé qui transforme le terminal mobile de l’utilisateur en un support de message publicitaire.
La CNIL énonce que ” le marketing ciblé basé sur de la géolocalisation n’est pas interdit “, néanmoins les usagers doivent souscrire à des services de géolocalisation et être informés de la possibilité de s’y opposer.
II/ Le rôle particulier de la CNIL et ses pouvoirs
La CNIL est une autorité indépendante créée par la loi du 06 janvier 1978 “Informatique et liberté”. Elle à ce titre chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. Elle exerce ses missions conformément à la loi no 78-17 du 6 janvier 1978 modifiée notamment en 2004 et en 2019.La CNIL est une autorité indépendante chargée de protéger les données personnelles créée par la loi du 06 janvier 1978 ” informatique et liberté “.
Il est indéniable que le développement généralisé de la géolocalisation amène la commission à être vigilante et à multiplier les opérations de sensibilisation à l’attention de l’ensemble des citoyens et sociétés.
La commission émet de nombreux avis sur de nouveaux dispositifs de géolocalisation, jugés trop intrusifs (Google Latitude, Facebook Lieux).
La CNIL peut infliger des sanctions en cas de non-respect des obligations légales, et ce, grâce à ces contrôles.
Ces dernières années, les contrôles ont été renforcés au sein des entreprises proposant des services de géolocalisation. La CNIL peut effectuer ses contrôles directement dans les locaux des entreprises et demander la communication de tout document permettant l’accès aux programmes informatiques et aux données afin de vérifier la licéité et la conformité des traitements effectués.
Dès lors qu’une entrave à la loi est constatée, la CNIL peut prononcer des sanctions pécuniaires pouvant s’élever jusqu’à un montant maximum de 150 000 € et 300 000 en cas de récidive. De surcroît, des injonctions de cesser le traitement illicite peuvent être déclarées.
Les manquements à la loi ” informatique et Libertés ” sont punis de 5 ans d’emprisonnement et de 300 000 € d’amende.
Il convient de rappeler qu’en 2011, la commission s’est attaquée à Google et à ses services Street View et Latitute. L’entreprise a été condamnée à 100 00 € d’amende. Les voitures de Street View et Latitude collectaient, en plus des photos, les réseaux Wifi ouverts et de ce fait une grande quantité de données privées.
Depuis le 25 mai 2018, la formation restreinte de la CNIL peut prononcer des sanctions à l’égard d'organismes qui ne respectent pas le règlement général sur la protection des données (RGPD) de l'Union européenne jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires mondial.
Concernant la mise en œuvre d’un dispositif de géolocalisation des salariés, la CNIL apporte sur des éclaircissements quant à la licéité de cette pratique. En effet, cette dernière liste les utilisations permises et les utilisations proscrites.
À titre d’exemple, il est permis de recourir à ce dispositif afin d’assurer le suivi d’une prestation, d’assurer la sécurité ou la sûreté du salarié et/ou des marchandises, de veiller à une allocation optimale des moyens mis à disposition pour l’exécution de la prestation et de veiller au respect des règles d’utilisation du véhicule.
Il est, toutefois, à noter que ce dispositif de géolocalisation ne peut avoir pour finalité de contrôler le respect des limitations de vitesse, de contrôler l’employé en permanence, de surveiller les déplacements du salarié en dehors de son temps de travail ou encore de contrôler les déplacements des représentants du personnel. (4)
À la lumière de tous ces éléments, il s’avère que le rôle de la CNIL est fondamental face à la multiplication et la banalisation de ces technologies. Un simple défaut de paramétrage, où en cas de piratage d’un téléphone, une surveillance constante des utilisateurs peut s’instaurer.
III. Illustration
récente
En
2020, la CNIL a pour partie axé son action de contrôle sur plusieurs thématiques
prioritaires en lien avec les préoccupations quotidiennes des Français, dont la
géolocalisation pour les services de proximité.
Dans
une
délibération rendue le 16 mars 2023 par la
formation restreinte de la CNIL, une sanction de 125 000 euros a été
prononcée à l’encontre de la société CITYSCOOT pour avoir notamment porté une
atteinte disproportionnée à la vie privée de ses clients en les géolocalisant de
manière quasi permanente. Cette décision a été prise en coopération avec les
autorités de protection des données espagnole et italienne dans la mesure où la
société propose aussi ces services dans ces pays. (5)
Depuis 2016, la société propose un service de location de scooters électriques
en libre-service accessible à partir de son application mobile. Les scooters ne
sont pas stationnés dans des espaces précis et peuvent être laissés, après
utilisation, dans la zone de location identifiée dans l’application. Les
véhicules sont équipés d’un dispositif de localisation embarqué qui permet à
CITYSCOOT et aux utilisateurs, via leur application mobile, de connaître la
position des scooters. La location d’un scooter électrique auprès de la société
suppose la création d’un compte à partir de l’application mobile. Il s’agit d’un
service sans engagement qui est facturé à la minute.
Un
contrôle en ligne a été effectué sur le site web «?cityscoot.eu?» et
l’application mobile «?CITYSCOOT?», le 13 mai 2020. La délégation de la CNIL
s’est notamment attachée à vérifier
les données collectées et les finalités de la
collecte. Ce contrôle avait également pour but de vérifier
l’encadrement de la sous-traitance et la sécurité des données.
A
l’occasion de ce contrôle, la CNIL s’est aperçue qu’au cours de la location d’un
scooter par un particulier, la société collectait des données relatives à la
géolocalisation du véhicule toutes les 30 secondes lorsque le CITYSCOOT est
actif et que son tableau de bord est allumé, qu’il soit en déplacement ou prêt à
rouler. Lorsque le CITYSCOOT est inactif, le boîtier collecte des données de
position toutes les 15 minutes. En outre, la société conservait l’historique de
ces trajets durant douze mois en base active, puis douze mois en archivage
intermédiaire avant d’être anonymisées.
La
société justifie la collecte des données de position des scooters au regard de
diverses finalités telles que le traitement des infractions au code de la route,
le traitement des réclamations clients, le support aux utilisateurs (afin
d’appeler les secours en cas de chute d’un utilisateur), ou encore la gestion
des sinistres et des vols. Or selon la CNIL, tout comme dans le cadre de la
géolocalisation des salariés, aucune des finalités avancées par la société ne
justifie une collecte quasi permanente des données de géolocalisation au cours
de la location d’un scooter. (6)
Elle relève un premier manquement à
l’article 5 du RGPD qui instaure l’obligation de veiller à la minimisation des
données.
Elle
a également pu constater que la société fait appel à quinze sous-traitants ayant
un accès ou
hébergeant des données à caractère
personnel. Sur ces quinze contrats, elle considère que les contrats avec les
sociétés ne contiennent pas toutes les mentions prévues par le
RGPD. D’une part, certains d’entre eux
ne mentionnent pas les dispositions relatives aux procédures de suppression ou
de renvoi des données à caractère personnel du sous-traitant au responsable de
traitements à échéance du contrat. D’autre part, certains ne mentionnent ni
l’objet du traitement ni sa durée.
Elle
constate donc un second manquement à l’obligation d’encadrer les traitements
faits par un
sous-traitant par contrat (article 28
du RGPD).
Pour
finir, elle souligne également un manquement à l’obligation d’informer
l’utilisateur et
d’obtenir son consentement avant d’inscrire et de
lire des informations sur son équipement personnel (article 82 de la
LIL).
Comme le rappelle la CNIL « Le montant de la sanction tient compte du chiffre
d’affaires de la société, de la gravité des manquements constatés, mais
également des mesures prises par la société pour y remédier lors de la
procédure. »
Tous
ses manquements cumulés représentent un risque pour la sécurité des données
collectées par le biais de la géolocalisation, notamment au regard de la vie
privée de l’utilisateur.
Pour lire une version adaptée aux mobilessur la geolocalisation, cliquez sur ce lien
Sources :
(1) : https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000006900785
(2) : Conseil d’État, 10ème - 9ème chambres réunies, 15/12/2017, 403 776 ; https://www.legifrance.gouv.fr/ceta/id/CETATEXT000036233170/
(3) : Cass.soc.19 déc.2018, n° 17-14.631
(4) : https://www.cnil.fr/fr/la-geolocalisation-des-vehicules-des-salaries ; https://www.cnil.fr/sites/default/files/atoms/files/_travail-vie_privee_geolocalisation_vehicules.pdf
(5) Délibération de la formation restreinte n° SAN-2023-003 du 16
mars 2023 concernant la société CITYSCOOT :
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000047346903?isSuggest=true
(6)
https://www.cnil.fr/fr/geolocalisation-de-scooters-de-location-sanction-de-125-000-euros-lencontre-de-cityscoot