Les règles applicables aux données de géolocalisation

La géolocalisation est une fonctionnalité qui permet la surveillance des déplacements d’une personne dans le temps et l’espace.

 

Nous retrouvons des dispositifs de géolocalisation dans les véhicules personnels et de fonctions (balise GPS) mais également sur la plupart des téléphones et des applications mobiles. 

 

La Commission Nationale de l’Informatique et des Libertés (ci-après « Cnil ») a énoncé dans une étude, élaborée en 2013, que « la géolocalisation est la donnée la plus collectée. Elle représente à elle seule plus de 30% des évènements détectés, sans être toujours liée à des fonctionnalités offertes par l'application ou à une action de l'utilisateur.»

 

Les données personnelles collectées dans le cadre de l’exploitation d’un service de géolocalisation par un organisme public ou privé, sont encadrées par le Règlement général sur la protection des données (ci-après « RGPD »), la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (ci-après « Loi informatique et libertés) », et la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 actualisée en 2009 avec la directive 2009/136/CE, qui concerne le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (ci-après « directive ePrivacy »).

 

Traitements de données de géolocalisation

 

Les articles 5 du RGPD et 4 de la loi informatique et libertés, prévoient que tout organisme public ou privé utilisant des dispositifs de géolocalisation doit démontrer que les données personnelles collectées issues de ces dispositifs sont :

 

- « traitées de manière licite, loyale et transparente au regard de la personne concernée ;

- collectées pour des finalités déterminées, explicites et légitimes ;

- adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ; 

- exactes ;

- conservées pendant une durée qui n’excède pas celle nécessaire au regard des finalités pour lesquelles elles sont collectées ;

- traitées de façon à garantir une sécurité appropriée des données à caractère personnel. »

 

L’obligation d’information

 

Les articles 13 du RGPD et 33 de la loi informatique et libertés posent une liste exhaustive des informations à fournir lorsque les données à caractère personnel sont collectées auprès de la personne concernée.

 

Dès lors qu’un organisme privé ou public traite des données personnelles, le responsable du traitement  doit assurer son obligation d’information auprès des personnes concernées.

L’obligation de sécurité

Aux termes de l’article 32 du RGPD, l’organisme qui traite des données personnelles doit mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté pour les données traitées, et limite l’accès aux données personnelles aux seules personnes habilitées à recevoir et consulter les informations.

Le traitement des données de géolocalisation des véhicules de fonction des salariés

 

La mise en place d’un système de géolocalisation sur le véhicule de fonction du salarié constitue un traitement de données à caractère personnel de ce dernier et doit répondre aux règles applicables précitées.

 

Il s’agit également d’une restriction des droits et libertés du salarié, que l’employeur doit alors justifier par la nature des tâches à accomplir et être proportionné au but recherché, conformément à l’article L1121-1 du code du travail.

 

L’utilisation d’un tel dispositif engage l’employeur à assurer l’exercice de son obligation d’information (articles L. 1222-3 et L. 1222-4 du code du travail, article 13 du RGPD et l’article 33 de la loi informatique et libertés) et de sécurité (article 32 du RGPD) sur ce traitement spécifiquement.

 

  • Licéité du dispositif

 

La Cnil rappelle dans une recommandation que l’installation de dispositif de géolocalisation dans les véhicules utilisés par les employés est licite si le dispositif a pour objectif de 

 

- suivre, justifier et facturer une prestation de transport de personnes, de marchandises ou de services directement liée à l’utilisation du véhicule ;

- assurer la sécurité de l’employé, des marchandises ou des véhicules dont il a la charge ;

- mieux allouer des moyens pour des prestations à accomplir en des lieux dispersés ;

- suivre le temps de travail, lorsque cela ne peut être réalisé par un autre moyen ;

- respecter une obligation légale ou réglementaire imposant la mise en œuvre d’un dispositif de géolocalisation en raison du type de transport ou de la nature des biens transportés ;

- contrôler le respect des règles d’utilisation du véhicule.

 

Par ailleurs, la mise en œuvre d’un tel dispositif de géolocalisation dans les véhicules de fonctions 

 

- ne doit pas permettre la collecte d’informations concernant les éventuels dépassements des limitations de vitesse ;

- doit nécessairement s’accompagner de mesures de sécurité limitant l’accès aux données de géolocalisation aux personnes habilitées ;

- nécessite de fixer une durée de conservation adéquate de ces données (généralement 2 mois) ;

- implique au préalable la consultation des instances représentatives du personnel et l’information individuelle des employés concernés relative à la finalité du traitement, les données traitées, leur durée de conservation, les destinataires des données, leurs droits d’accès, de rectification et d’opposition ;

- ne doit pas s’appliquer aux employés investis d’un mandat électif ou syndical lorsqu’ils agissent dans le cadre de leur mandat.

 

Dès lors que le traitement des données est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie (article 6.1.b du RGPD) ou est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement (article 6.1.f du RGPD), le consentement du salarié n’est pas nécessaire.

 

  • Durée de conservation

 

Dans cette même recommandation, la Cnil énonce différentes durées de conservation pour les informations obtenues par la géolocalisation en fonction de leurs utilisations

 

  • les informations utilisées pour optimiser les tournées ou à des fins de preuve des interventions effectuées, lorsqu’il n’est pas possible de rapporter cette preuve par un autre moyen, sont conservées un an ;

  • celles qui sont utilisées pour le suivi du temps de travail sont conservées cinq ans ;

  • les informations qui ne sont pas utilisées pour ces cas, ne doivent pas être conservées plus de deux mois.

 

La question des données de géolocalisation des véhicules connectés 

 

La Cnil a publié en octobre 2017 un pack de conformité « véhicules connectés et données personnelles » afin de permettre aux professionnels de se mettre en conformité avec le RGPD.

 

  • Véhicules concernés

 

Le pack s’applique aux seuls véhicules connectés, c’est-à-dire aux véhicules qui communique avec l’extérieur (par le biais des applications mobiles par exemple).

 

Il a pour périmètre les traitements de données à caractère personnel collectées via les capteurs des véhicules connectés, les boitiers télématiques, ou les applications mobiles (Apple CarPlay par exemple), que les données soient traitées à bord des véhicules ou exportées vers un serveur centralisé. 

 

  • Licéité du traitement

 

La Cnil rappelle dans ce pack que les données de géolocalisation sont particulièrement révélatrices des habitudes de vie des personnes concernées, et, de ce fait, le fournisseur de service doit être vigilant à ne collecter les données de localisation que lorsqu’une telle collecte est absolument nécessaire à la finalité du traitement. 

 

Le véhicule connecté peut comporter un dispositif de géolocalisation à des fins de lutte contre le vol, par exemple.

 

La Cnil ajoute que, de manière générale, la collecte des données de géolocalisation doit respecter, sauf obligation légale contraire, les principes suivants : 

 

- « le recueil d’un consentement spécifique, distinct des conditions générales de vente ou d’utilisation (sur l’ordinateur de bord par exemple) – lorsque ce consentement est requis ; 

- un paramétrage adéquat de la finesse de la géolocalisation par rapport à la finalité du traitement. (une application météo ne saurait accéder toutes les secondes à la géolocalisation du véhicule, et ce même avec le consentement de la personne concernée, par exemple) ;

- la possibilité de désactiver la géolocalisation à tout moment ;

- l’activation de la géolocalisation uniquement lorsque l’usager lance une fonctionnalité qui nécessite de connaître la localisation du véhicule, et non par défaut et en continu au démarrage de la voiture ;

- l’information de l’usager de l’activation de la géolocalisation, notamment par le biais d’icônes (une flèche qui se déplace à l’écran par exemple) ;

- la fourniture d’une information précise sur les finalités du traitement ;

- la définition d’une durée de conservation limitée. 

 

Ces règles ne sont pas applicables à la géolocalisation des véhicules de salariés, pour laquelle des règles spécifiques ont été définies par la Cnil dans la norme simplifiée NS-51 » et sont expliquées ci-avant.

 

  • La question du consentement

 

L’obtention du consentement n’est pas toujours requis, il dépend de la base légale du traitement car l’article 6 du RGPD précise que le traitement des données personnelles (les données de géolocalisation par exemple) peut être justifié par le consentement, mais peut être aussi justifié par une autre base légale ne nécessitant pas le consentement, telle que l’exécution d’un contrat avec la personne concernée (article 6.1.b du RGPD) ou bien l’obligation légale (6.1.c du RGPD). 

 

Par exemple, le pack de conformité précité indique que, dans le scénario où les données du véhicules sont transmises au fournisseur de service, sans déclencher à distance d’action automatique dans le véhicule (In->Out), pour le traitement de données de géolocalisation ayant pour finalité la lutte contre le vol, la base légale est le consentement du propriétaire du véhicule ou, le cas échéant, l’exécution d’un contrat.

 

Ainsi, si le fournisseur souhaite traiter les données de géolocalisation du véhicule à des fins de lutte contre le vol, il doit demander le consentement du propriétaire, si la base légale du traitement est le consentement. À l’inverse, si la base légale du traitement n’est pas le consentement, mais l’exécution du contrat, le fournisseur n’est pas soumis à l’obligation de recueillir le consentement du propriétaire. 

 

Il convient ainsi de consulter tous les cas de figure indiqué dans ce pack, afin de connaître la base légale de son traitement.

 

Traitement de données de géolocalisation par les applications mobiles

 

Dans une recommandation de 2011 relative aux obligations des éditeurs d’applications au regard de la loi informatique et libertés, la Cnil énonce que l’application qui propose des services de géolocalisation doit recueillir obligatoirement le consentement exprès des personnes concernées par l’intermédiaire d’une case à cocher et non pré-cochée. 

 

De cette manière, l’utilisateur peut revenir sur son consentement, en désactivant ou en suspendant le service à tout moment.

 

Dans le cadre d’une géolocalisation ponctuelle, la collecte d’informations est limitée dans le temps et l’espace. La simple volonté de l’utilisateur de consulter une application mobile tel que la météo ou le trafic routier pourrait être considérée comme une manifestation explicite de son consentement.

 

En revanche, dans le cadre d’une géolocalisation continue, l’utilisateur pourrait avoir la possibilité de donner son consentement à tout moment dans les paramètres de l’application, par l’intermédiaire d’une case à cocher pour activer (opt-in) ou désactiver l’option de délocalisation (opt-out).

 

  • Avis du contrôleur européen

 

Le Groupe de travail «Article 29» (ci-après « G29 »), qui est un groupe de travail européen indépendant, a fourni de nombreuses lignes directrices relatives à la protection de la vie privée et aux données à caractère personnel. 

 

Le G29 est devenu en mai 2018, à l’entrée en application du RGPD, le Contrôleur européen de la protection des donnée (ci-après « CEPD »), qui actuellement assure que les institutions et organes européens respectent le droit à la vie privée et à la protection des données. 

 

Le G29  a ainsi proposé un exemple de meilleure pratique pour les fournisseurs d’applications de géolocalisation, dans son avis 13/2011 sur les services de géolocalisation des dispositifs mobiles intelligents.

 

Cet exemple d’une meilleure pratique consiste en ce que, les fournisseurs d’applications mobiles de géolocalisation qui souhaitent traiter les données personnelles collectées, doivent :

 

- informer clairement l’utilisateur des raisons pour lesquelles il souhaite utiliser les données ;

- demander un consentement sans équivoque pour chacune de ces raisons ;

- laisser la possibilité à l’utilisateur de choisir activement le niveau de granularité de géolocalisation (par exemple à l’échelle d’un pays, d’une ville, d’un code postal, ou à l’échelle la plus précise possible) ;

- une fois que le service de localisation est activé, mettre en place une icône, visible en permanence sur chaque écran, indiquant que les services de localisation sont activés ;

- laisser la possibilité à l’utilisateur de retirer son consentement à tout moment, sans avoir à quitter l’application ;

- laisser la possibilité à l’utilisateur d’être en mesure de supprimer facilement et de manière définitive toute donnée de localisation stockée sur le dispositif. 

 

Traitement de données de géolocalisation par les applications mobiles à des fins de marketing ciblé

 

Certaines applications mobiles utilisent des systèmes de géolocalisation afin de faire du marketing ciblé. 

 

Le marketing ciblé peut s’apparenter à du « profilage », qui consiste, au sens de l’article 4 du RGPD, en :

 

« toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique ; »

 

Dans le cadre d’un tel traitement de données personnelles, les responsables du traitement doivent informer les utilisateurs des raisons pour lesquelles ils souhaitent utiliser les données, et obtenir leur consentement avant de collecter leurs données pour les utiliser à des fins publicitaires.

 

Le consentement de la personne concernée doit être explicite pour que le profilage soit fondé (article 22.2.c du RGPD)

 

La Cnil propose une infographie expliquant comment les applications utilisent la géolocalisation et  l'encadrement de ces pratiques ainsi que les moyens de les limiter.

 

Également, la Cnil propose, sur son site internet, des conseils aux utilisateurs de smartphone pour régler la géolocalisation en fonction de leurs besoins, car ces informations pourraient permettre de déduire des informations sur leurs habitudes et modes de vie (lieux de résidence, de travail, mobilité par exemple).

 

Les données de localisation collectées par les opérateurs de télécommunications 

 

Le G29 a indiqué dans une de ses lignes directrices que « parce que les données de localisation des appareils mobiles intelligents révèlent des détails intimes sur la vie privée de leur propriétaire, le principal motif légitime applicable est le consentement préalable en connaissance de cause ».

 

La directive ePrivacy exige des services et réseaux publics de communications électroniques (opérateurs de télécommunications) le consentement des abonnées ou des utilisateurs.

 

L’article 9 de ce texte précise que, lorsque les utilisateurs ou les abonnées ont donné leur consentement au traitement des données de localisation, ils doivent

 

- avoir la possibilité de retirer à tout moment leur consentement pour le traitement des données de localisation

- garder la possibilité d’interdire temporairement, par un moyen simple et gratuit le traitement de ces données pour chaque connexion au réseau ou pour chaque transmission de communication.

 

Cependant, le RGPD précise par son article 6 que le traitement des données personnelles (les données de localisation par exemple) peut être justifié par le consentement, mais peut être aussi justifié par une autre base légale ne nécessitant pas le consentement de la personne concernée. Il s’agit par exemple 

 

- de l’exécution d’un contrat avec la personne concernée (article 6.1.b du RGPD) ;

- d’une obligation légale (article 6.1.c du RGPD) ;

- d’une mission d’intérêt public  (article 6.1.e du RGPD) ;

- d’un intérêt légitime (article 6.1.f du RGPD). 

 

Ainsi, si l’opérateur de télécommunication souhaite collecter les données de localisation des abonnées ou des utilisateurs sans leur consentement, ce dernier doit justifier la collecte par une autre base légale.

 

La Commission européenne a proposé en 2017 le projet d’un règlement du Parlement européen et du Conseil, concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques, qui remplacerait la directive ePrivacy. 

 

Ce règlement doit venir compléter le RGPD sur la question de l’utilisation des données à caractère personnelle et notamment de géolocalisation par les services de communications électroniques, ainsi que sur les modalités du consentement. 

 

Cette proposition de règlement est toujours en attente d’adoption, et suscite des désaccords notamment en raison des nombreuses exigences relatives au consentement de l’utilisateur lors du traitement de ses données, l’analyse, la conservations des métadonnées et l’accès au contenu. 

 

Les questions relatives au « Contact tracing » de l’application « TousAntiCovid »

 

En réponse à la lutte contre le COVID-19, la France s’est lancée dans la technique du « Contact tracing » via l’application « TousAntiCovid ».

 

Le système de « Contact tracing » de l’application « TousAntiCovid » consiste à visualiser les déplacements et repérer les utilisateurs susceptibles d’avoir été exposés au virus lors de contacts avec d’autres utilisateurs infectés, via le Bluetooth du téléphone.

 

L’application « TousAntiCovid » informe les utilisateurs que les données sont partagées par l’application avec le serveur géré par le Ministère des Solidarités et de la Santé, seulement si l’utilisateur a été diagnostiqué comme un cas de COVID-19 et a donné son consentement.

 

  • Traitement de données de santé

 

Ces données partagées permettent aux autres utilisateurs d’être alertés s’ils ont été à proximité de l’utilisateur diagnostiqué comme un cas de COVID-19 et qu’il y a un risque de contamination.

 

Des difficultés se posent notamment sur la question du consentement et sur la collecte des données de santé. 

 

Lorsque le dispositif de géolocalisation va détecter la contamination avérée ou le risque de contamination d’une personne, par le COVID-19, il va collecter des données de santé. 

 

  • L’avis de la Cnil

 

A ces problématiques, Marie-Laure Denis, présidente de la Cnil, a énoncé des précisions durant son audition par la commission des lois de l’Assemblée national du 8 avril 2020 :

 

- « les textes qui protègent les données personnelles ne s’opposent pas à la mise en œuvre de solutions de suivi numérique, individualisées ou non, pour la protection de la santé publique ;

- le traitement de données de localisation, que ce soit via les opérateurs télécoms ou des applications installées par le téléphone (par des opérations de lecture d’informations localisées sur le terminal), est soumis au consentement (article 9 de la directive ePrivacy ) ;

- il est possible de déroger au consentement, par des « mesures législatives » des États membres dans certaines hypothèses, parmi lesquelles figurent la « sécurité publique » ;

- si un suivi individualisé des personnes était mis en œuvre, il faudrait d’abord, à droit constant, qu’il soit basé sur le volontariat, avec un consentement réellement libre et éclairé - et le fait de refuser l’application n’aurait aucune conséquence préjudiciable ;

- si un dispositif de suivi des personnes était mis en place sur d’autres bases, notamment de manière obligatoire, alors il nécessiterait une disposition législative et devrait, en tout état de cause, démontrer sa nécessité pour répondre à la crise sanitaire ainsi que sa proportionnalité en tenant compte des mêmes principes de protection de la vie privée ».

 

Aux termes des articles 9 du RGPD et 67 de la loi informatique et libertés, les organismes ou les services chargés d'une mission de service public peuvent procéder à la mise en place de traitement de données personnelles sensibles, par le suivi des personnes contaminées par le Covid-19, et des individus avec lesquels elles ont été en contact, sous réserve de la réalisation d'une analyse d'impact (article 35 du RGPD) et faire une consultation préalable de la Cnil (article 36 du RGPD). 

 

Afin de mieux comprendre la mise en œuvre de l’application TousAntiCovid, la Cnil partage des séries de questions/réponses, ainsi que ses avis et recommandations sur son site internet. 

 

Les sanctions prononcées par la Cnil, ses homologues européens et les juridictions au regard des manquements à la réglementation sur la géolocalisation

 

La Cnil, ses homologues européens et les différentes juridictions nationales ont eu à se prononcer sur des manquements aux obligations prévues par la réglementation sur les données personnelles dans le cadre de traitement de données de géolocalisation.

 

En voici plusieurs exemples :

 

- dans une délibération du 22 mai 2020, l’autorité finlandaise de protection des données a prononcé une amende de 16 000 euros contre Kymen Vesi Oy pour défaut d'évaluation d'impact sur la protection des données ("DPIA") pour le traitement des données de localisation des employés avec un système d'information sur les véhicules ;

 

- dans une délibération du 4 février 2019, l’autorité tchèque de protection des données a prononcé une amande de 1 165 euros contre une société de location de voiture, pour violation de l’obligation d’information car la société n’avait transmis aucune information sur le fait que la voiture était géolocalisée ;

 

- dans une délibération du 21 janvier 2019, la Cnil a prononcé une amende de 50 millions d’euros à Google pour défaut global d’accessibilité des informations délivrées par la société dans le cadre des traitements tels que les traitements de personnalisation de la publicité et de géolocalisation ;

 

- dans une décision du 8 octobre 2018, la Cnil a mis en demeure la société Singlespot pour avoir manqué à l’obligation de recueillir le consentement des utilisateurs des applications mobiles fournies par ses partenaires et par lesquelles elle collecte des données de géolocalisation à des fins de ciblage publicitaire ;

 

- dans une décision du 25 juin 2018, la Cnil a mis en demeure la société Fidzup pour avoir manqué à l’obligation recueillir le consentement des utilisateurs des applications mobiles fournies par ses partenaires et par lesquelles elle collecte des données de géolocalisation à des fins de ciblage publicitaire ;

 

- par un arrêt du 29 septembre 2016, la Cour d’appel condamne la SA Orange d’une amende de 1 500 euros pour manquement à l'obligation d'accomplir les formalités préalables à la mise en œuvre d’un dispositif de géolocalisation, manquement à l'obligation de veiller à l'adéquation, à la pertinence et au caractère non excessif des données. Le dispositif de géolocalisation portait atteinte de manière disproportionnée aux droits des salariés du fait de la nature et du nombre des informations recueillies par la société, de la durée excessive de conservation des données, de l’impossibilité pour les salariés de désactiver le boîtier ;

 

- dans une délibération du 22 juillet 2014, la Cnil a prononcé une amende de 5 000 euros à une société pour manquement à l'obligation d'accomplir les formalités préalables à la mise en œuvre d’un dispositif de géolocalisation, manquement à l'obligation de veiller à l'adéquation, à la pertinence et au caractère non excessif des données et pour manquement à l'obligation d'informer les personnes ;

 

- dans une délibération du 23 novembre 2013, la Cnil a prononcé une amende de 3 000 euros contre une société pour avoir manqué à l'obligation de répondre aux demandes de la Cnil.

Ces demandes visaient à permettre aux employés de désactiver la fonction de géolocalisation lorsque les véhicules sont utilisés à des fins privées (temps de pause-déjeuner et trajet domicile-travail notamment), à enjoindre à la société de pas collecter ni d'enregistrer la vitesse instantanée et maximale du véhicule, de procéder à l'information des salariés concernés dans les conditions prévues par les textes applicable ;

 

- dans une délibération du 22 juin 2012, la Cnil a prononcé une amende de 10 000 euros à l’encontre d’une société pour manquement à l'obligation de garantir le droit d'accès du salarié qui souhaitait prendre connaissance et copie des données de géolocalisation du véhicule qu’il utilisait à titre professionnel ;

 

- dans un arrêt du 3 novembre 2011, la Cour de cassation a prononcé une amende de 2 500 euros contre la société Moreau pour détournement de finalité du système de géolocalisation qui était incompatible avec la liberté du salarié dans l’organisation de son travail ;

 

- dans une délibération du 17 mars 2011, la Cnil a prononcé une amende de 100 000 euros contre une société pour défaut de déclaration et d’information sur l’intégration d’un service de géolocalisation dans un moteur de recherches interne.

 

Les dispositions applicables au secteur des services de géolocalisation 

 

  • Dispositions légales

 

- le chapitre II du RGPD relatif au principe des traitements des données personnelles (articles 5 à 11), le chapitre III du RGPD concernant les droits de la personne concernée (articles 12 à 23), le chapitre IV du RGPD sur le responsable du traitement et le sous-traitant (articles 24 à 43) et le chapitre VIII du RGPD relatif aux voies de recours, responsabilité et sanction (articles 77 à 84) ;

 

- le titre I de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés est applicable au secteur des service de géolocalisation, notamment, le chapitre IV concernant les formalités préalables à la mise en œuvre des traitements (articles 31 à 36), le chapitre IV relatif aux obligations incombant aux responsables de traitement et droits des personnes (articles 37 à 39), le chapitre VI relatif aux dispositions pénales (articles 40 et 41). Le titre II la même loi est applicable au secteur des service de géolocalisation, notamment les chapitres I et II qui concernent les dispositions générales et les droits de la personnes concernée (articles 42 à 56), le chapitre III relatif aux obligations incombant au responsable du traitement et au sous-traitant (article 57 à 63), et le chapitre IV qui concerne les droits et obligations propres aux traitements dans le secteur des communications électroniques (articles 81 à 83) ;

 

- les articles 4 et 9 de la directive ePrivacy, relatifs à la sécurité du traitement et aux données de localisation autres que les données relatives au trafic ;

 

- la section V du Livre II, Titre II, chapitre VI du Code pénal (articles 226-16 à 226-24) intitulé « Des atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques » énumère les sanctions applicables, ainsi que les articles R625-10 à R625-13.

 

  • Référenciels

 

Afin d’accompagner aux mieux les professionnels, la Cnil a publié 

 

- une synthèse de la norme simplifiée NS-051 : la géolocalisation des véhicules des employés ;

- un guide relatif au travail et les données personnelles : la géolocalisation des véhicules ;

- un pack de conformité « véhicules connectés et données personnelles » 

Par Debora Cohen - 29 avril 2021

  • LinkedIn Social Icône
  • Facebook
  • Instagram