Tout récemment, le Conseil de l’Europe et la CNIL (Commission nationale de l’informatique et des libertés), se sont penchés sur les traitements automatisés de données à caractère personnel. En juin dernier La CNIL a adopté une norme simplifiée concernant les traitements automatisés de données à caractère personnel mis en œuvre par les organismes publics ou privés destinés à géolocaliser les véhicules utilisés par leurs employés. La délibération n° 2015-165 du 4 juin 2015, a été publiée au Journal officiel n°0138 du 17 juin 2015. Le comité des ministres du Conseil de l’Europe a adressé aux 47 Etats membres une Recommandation le 1er avril 2015, dans laquelle sont énoncés les principes qu’ils devraient suivre dans leur législation nationale et qui devraient s’appliquer au traitement des données à caractère personnel des employés et des candidats à un emploi.
L’occasion est donc toute trouvée, s’agissant de la géolocalisation des salariés, de faire un rapide état des lieux tant de la réglementation en vigueur (I) que du courant jurisprudentiel (II), ce qui malheureusement n’épuisera pas en quelques mots un sujet aussi dense, mais qui conduira aux lignes directrices principales (III).
I – Synthèse des normes en vigueur
Selon une définition donnée par la CNIL, la géolocalisation est une technologie permettant de déterminer la localisation d’un objet ou d’une personne avec une certaine précision. La technologie s’appuie généralement sur le système GPS ou sur les interfaces de communication d’un téléphone mobile.
Lorsqu’il s’agit de localiser une personne, on touche évidemment à des notions sensibles que sont la vie privée et a liberté d’aller et venir des individus. Or il existe de très nombreux textes nationaux et internationaux faisant référence de près ou de loin aux aspects liés à la vie privée, le cadre du travail n’étant pas exclu de leur champ d’application. Figurent ci-après, les normes principales et pertinentes devant obligatoirement être mobilisées par l’employeur dès lors qu’il envisage la mise en place d’un système de géolocalisation.
1- La Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel
Dès la fin des années 70, l’Europe s’empara de l’épineuse question du traitement automatisé des données à caractère personnel ; ce qui se traduisit par la signature, le 28 janvier 1981, de la Convention n° 108 du Conseil de l’Europe, pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel. Cette Convention a pour objet de garantir, sur le territoire de chaque Partie, à toute personne physique, quelles que soient sa nationalité ou sa résidence, le respect de ses droits et de ses libertés fondamentales, et notamment de son droit à la vie privée, à l’égard du traitement automatisé des données à caractère personnel la concernant.
Aux termes de son article 8, « Toute personne doit pouvoir : – connaître l’existence d’un fichier automatisé de données à caractère personnel, ses finalités principales, ainsi que l’identité et la résidence habituelle ou le principal établissement du maître du fichier ; – obtenir à des intervalles raisonnables et sans délais ou frais excessifs la confirmation de l’existence ou non dans le fichier automatisé, de données à caractère personnel la concernant ainsi que la communication de ces données sous une forme intelligible ; – obtenir, le cas échéant, la rectification de ces données ou leur effacement lorsqu’elles ont été traitées en violation des dispositions du droit interne donnant effet aux principes de base énoncés dans les articles 5 et 6 de la présente Convention ; – disposer d’un recours s’il n’est pas donné suite à une demande de confirmation ou, le cas échéant, de communication, de rectification ou d’effacement, visée aux paragraphes b et c du présent article. »
Cependant, l’article 9 admet certaines exceptions. Limitées, ces dérogations doivent être prévues par la loi et constituer une mesure nécessaire dans une société démocratique. A titre d’exemple, il peut s’agir de la protection de la sécurité de l’Etat, de la sûreté publique, des intérêts monétaires de l’Etat ou de la répression des infractions pénales ; ou encore de la protection même de la personne concernée et des droits et libertés d’autrui.
2- La directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
La directive contraint les États membres à assurer la protection des libertés et droits fondamentaux des personnes physiques, notamment de leur vie privée, à l’égard du traitement des données à caractère personnel. L’article 6 précise notamment que les données à caractère personnel doivent être traitées loyalement et licitement, collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités. De plus ces données doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement. Par ailleurs leur exactitude, au besoin par des mises à jour est indispensable.
Aux termes de l’article 7 de cette directive, le traitement de données à caractère personnel ne peut être effectué qu’aux conditions alternatives suivantes : si la personne concernée a indubitablement donné son consentement, ou s’il est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci, ou s’il est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis, ou s’il est nécessaire à la sauvegarde de l’intérêt vital de la personne concernée, ou s’il est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, dont est investi le responsable du traitement ou le tiers auquel les données sont communiquées, ou s’il est nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de la personne concernée.
Enfin, le texte permet à la personne concernée de disposer d’un droit d’accès aux données, sous certaines conditions. En tout état de cause la confidentialité et la sécurité des traitements s’impose aux États membres.
3- La directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement de données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques ;
Cette directive harmonise les dispositions des États membres nécessaires pour assurer un niveau équivalent de protection des droits et libertés fondamentaux, et en particulier du droit à la vie privée, en ce qui concerne le traitement des données à caractère personnel dans le secteur des communications électroniques, ainsi que la libre circulation de ces données et des équipements et des services de communications électroniques dans la Communauté. En outre, elle précise et complète la directive 95/46/CE.
4- La Recommandation CM/Rec(2015)5 du Comité des Ministres au Conseil de l’Europe du 1er avril 2015 sur le traitement des données à caractère personnel dans le cadre de l’emploi
En date du 1er avril 2015, le Conseil de l’Europe a adressé à ses 47 Etats membres une Recommandation dans laquelle sont énoncés les principes qu’ils devraient suivre dans leur législation nationale et qui devraient s’appliquer au traitement des données à caractère personnel des employés et des candidats à un emploi. Ces principes concernent, par exemple, les données relatives à la santé ou le contrôle des communications sur le lieu de travail.
Cette Recommandation indique que les employeurs devraient éviter de porter des atteintes injustifiées et déraisonnables au droit au respect de la vie privée des employés sur leur lieu de travail, en précisant que ce principe s’étend à toutes les technologies de l’information. Le texte contient un certain nombre de garanties, destinées à faire en sorte que les données à caractère personnel des employés soient correctement protégées, et il apporte des orientations concernant la collecte des données à caractère personnel par les employeurs, leur enregistrement et leur communication externe (à des organismes publics, par exemple).
Les employés devraient avoir accès aux données à caractère personnel les concernant qui sont détenues par leur employeur, ainsi qu’à des informations sur l’origine de ces données et sur la finalité de leur traitement. Ils devraient aussi avoir le droit d’obtenir la rectification ou l’effacement des données si elles sont inexactes ou traitées en violation du droit applicable.
5- La Convention de sauvegarde des Droits de l’Homme et des Libertés fondamentales du 4 novembre 1950.
L’article 8 de la Convention européenne est incontestablement le pilier du Droit au respect à la vie privée. Il stipule en effet que toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance. Il ne peut y avoir ingérence d’une autorité publique dans l’exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu’elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l’ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d’autrui.
Aujourd’hui, les juridictions internes des ordres administratif et judiciaire se réfèrent régulièrement à l’article 8 Conv.EDH, en ce qu’il est élevé au niveau de Droit fondamental et constitue un socle incontournable du respect à la vie privée qui trouve d’ailleurs son pendant dans le Code civil français.
6- Le code civil
Ce n’est qu’en 1970 que la France s’est dotée d’un texte législatif consacrant le Droit au respect de la vie privée. L’article 22 de la loi n°70-643 du 17 juillet 1970 tendant à renforcer la garantie des droits individuels des citoyens, inséra un article 9 au code civil ainsi rédigé : « Chacun a droit au respect de sa vie privée ».
En considérant que la méconnaissance du droit au respect de la vie privée pouvait être de nature à porter atteinte à la liberté individuelle, le Conseil constitutionnel a élevé ce Droit au rang de principe à valeur constitutionnelle en 1995 (Cons. const., 18 janv. 1995, déc. n° 94-352 DC, « Loi d’orientation et de programmation relative à la sécurité » : JO 21 Janv. 1995, p. 1154, Rec., p. 170).
7- Le Code du travail
Aux termes de l’article L. 1121-1 du code du travail, nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché.
L’article L. 1222-3 quant à lui dispose que le salarié est expressément informé, préalablement à leur mise en œuvre, des méthodes et techniques d’évaluation professionnelles mises en œuvre à son égard. Les résultats obtenus sont confidentiels. Les méthodes et techniques d’évaluation des salariés doivent être pertinentes au regard de la finalité poursuivie. De surcroît, aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance, selon l’article L. 1222-4.
L’employeur ne doit pas non plus omettre les prérogatives en la matière des institutions représentatives du personnel. Selon les deuxième et troisième alinéas de l’article L. 2323-32 du code du travail, le comité d’entreprise est informé, préalablement à leur introduction dans l’entreprise, sur les traitements automatisés de gestion du personnel et sur toute modification de ceux-ci. Il est également informé et consulté, préalablement à la décision de mise en œuvre dans l’entreprise, sur les moyens ou les techniques permettant un contrôle de l’activité des salariés.
8- Le Code pénal
Plus grave encore, le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende. (Article 226-16 du Code pénal)
9- La loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
Pionnière sur ce point, la loi du 6 janvier 1978, pose par exemple les conditions de licéité des traitements de données à caractère personnel. Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes : 1° Les données sont collectées et traitées de manière loyale et licite ; 2° Elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. Toutefois, un traitement ultérieur de données à des fins statistiques ou à des fins de recherche scientifique ou historique est considéré comme compatible avec les finalités initiales de la collecte des données, s’il est réalisé dans le respect des principes et des procédures prévus au présent chapitre, au chapitre IV et à la section 1 du chapitre V ainsi qu’aux chapitres IX et X et s’il n’est pas utilisé pour prendre des décisions à l’égard des personnes concernées ; 3° Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ; 4° Elles sont exactes, complètes et, si nécessaire, mises à jour ; les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées ; 5° Elles sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.
La loi ajoute qu’un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée ou satisfaire à l’une des conditions suivantes : 1° Le respect d’une obligation légale incombant au responsable du traitement ; 2° La sauvegarde de la vie de la personne concernée ; 3° L’exécution d’une mission de service public dont est investi le responsable ou le destinataire du traitement ; 4° L’exécution, soit d’un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celle-ci ; 5° La réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée.
10- Délibération de la Commission nationale de l’informatique et des libertés n° 2015-165 du 4 juin 2015 portant adoption d’une norme simplifiée concernant les traitements automatisés de données à caractère personnel mis en œuvre par les organismes publics ou privés destinés à géolocaliser les véhicules utilisés par leurs employés (Norme simplifiée n° 51)
La CNIL rappelle que des données à caractère personnel ne peuvent être collectées que pour des finalités déterminées, explicites et légitimes et qu’elles ne doivent pas être traitées ultérieurement de manière incompatible avec ces finalités.
Les traitements couverts par la présente norme ne peuvent être mis en œuvre que pour tout ou partie des finalités suivantes :
a) Le respect d’une obligation légale ou réglementaire imposant la mise en œuvre d’un dispositif de géolocalisation en raison du type de transport ou de la nature des biens transportés ;
b) Le suivi et la facturation d’une prestation de transport de personnes ou de marchandises ou d’une prestation de services directement liée à l’utilisation du véhicule, ainsi que la justification d’une prestation auprès d’un client ou d’un donneur d’ordre ;
c) La sûreté ou la sécurité de l’employé lui-même ou des marchandises ou véhicules dont il a la charge, en particulier la lutte contre le vol du véhicule ;
d) Une meilleure allocation des moyens pour des prestations à accomplir en des lieux dispersés, notamment pour des interventions d’urgence ;
e) Le contrôle du respect des règles d’utilisation du véhicule définies par le responsable de traitement, sous réserve de ne pas collecter une donnée de localisation en dehors du temps de travail du conducteur.
Le traitement peut avoir pour finalité accessoire le suivi du temps de travail, lorsque ce suivi ne peut être réalisé par un autre moyen, sous réserve notamment de ne pas collecter ou traiter de données de localisation en dehors du temps de travail des employés concernés.
La commission rappelle que des données à caractère personnel ne peuvent être collectées que si elles sont adéquates, pertinentes et non excessives au regard de la finalité poursuivie par le responsable de traitement. Ce dernier doit ainsi être en mesure de justifier du caractère nécessaire des données à caractère personnel effectivement collectées.
Un responsable de traitement peut collecter et traiter :
a) L’identification de l’employé : nom, prénom, coordonnées professionnelles, matricule interne, numéro de plaque d’immatriculation du véhicule ;
b) Les données relatives aux déplacements des employés : données de localisation issues de l’utilisation d’un dispositif de géolocalisation, historique des déplacements effectués ;
c) Les données complémentaires associées à l’utilisation du véhicule : vitesse de circulation du véhicule, nombre de kilomètres parcourus, durées d’utilisation du véhicule, temps de conduite, nombre d’arrêts ;
d) La date et l’heure d’une activation et d’une désactivation du dispositif de géolocalisation pendant le temps de travail.
Sauf si une disposition légale le permet, le traitement de la vitesse maximale ne peut s’effectuer, conformément à l’article 9 de la loi qui interdit notamment aux personnes privées de mettre en œuvre des traitements visant à faire directement apparaître des données relatives aux infractions.
Par ailleurs, pour ne pas porter atteinte au respect de l’intimité de la vie privée, il n’est pas possible de collecter une donnée de localisation en dehors du temps de travail du conducteur, en particulier lors des trajets effectués entre son domicile et son lieu de travail ou pendant ses temps de pause.
Sur l’information et les droits des personnes, la CNIL indique dans sa délibération que le responsable du traitement doit procéder, conformément aux dispositions du code du travail et à la législation applicable aux trois fonctions publiques, à l’information et à la consultation des instances représentatives du personnel avant la mise en œuvre d’un dispositif de géolocalisation des employés. Qu’en outre, les employés concernés doivent être informés, préalablement à la mise en œuvre du traitement, de l’identité du responsable de traitement ou de son représentant, de la finalité poursuivie par le traitement, des destinataires ou catégories de destinataires des données, de l’existence d’un droit d’accès aux données les concernant, d’un droit de rectification et d’un droit d’opposition pour motif légitime, ainsi que des modalités d’exercice de ces droits.
Les employés doivent avoir la possibilité de désactiver la fonction de géolocalisation des véhicules, en particulier à l’issue de leur temps de travail ou pendant leurs temps de pause, le responsable de traitement pouvant, le cas échéant, demander des explications en cas de désactivations trop fréquentes ou trop longues du dispositif.
Utilement la Commission précise que les employés investis d’un mandat électif ou syndical ne doivent en aucun cas faire l’objet d’une opération de géolocalisation lorsqu’ils agissent dans le cadre de l’exercice de leur mandat.
La commission rappelle enfin que l’obligation de veiller à la sécurité des données à caractère personnel nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.
II – Courant jurisprudentiel
Les juridictions connaissent depuis plusieurs années des contentieux afférents aux traitements automatisés de données à caractère personnel mis en œuvre dans l’entreprise, en particulier les systèmes de géolocalisation des véhicules. La Cour de cassation s’est prononcée à plusieurs reprises sur la question, avec pertinence et tout en visant les principales dispositions normatives, elle tend à encadrer ce genre de techniques.
Les Hauts magistrats considèrent par exemple que l’utilisation d’un système de géolocalisation pour assurer le contrôle de la durée du travail, laquelle n’est licite que lorsque ce contrôle ne peut pas être fait par un autre moyen, n’est pas justifiée lorsque le salarié dispose d’une liberté dans l’organisation de son travail (Cass. soc., 17 déc. 2014, n° de pourvoi : 13-23.645, inédit). Selon la Cour,un système de géolocalisation ne peut être utilisé par l’employeur pour d’autres finalités que celles qui ont été déclarées auprès de la Commission nationale de l’informatique et des libertés, et portées à la connaissance des salariés (Cass. soc., 3 nov. 2011, n° de pourvoi : 10-18.036, Bull. 2011, V, n° 247). L’utilisation illicite d’un tel dispositif (pour d’autres finalités que celles qui ont été déclarées auprès de la CNIL, et portées à la connaissance des salariés), est susceptible de justifier la prise d’acte de la rupture du contrat de travail aux torts de l’employeur (même arrêt).
Une Cour administrative d’appel a récemment statué sur un litige similaire. Les juges administratifs formulent les mêmes motifs adoptés par la Chambre sociale de la Cour de cassation, à savoir qu’un système de géolocalisation ne peut être utilisé par l’employeur pour d’autres finalités que celles déclarées auprès de la Commission nationale de l’informatique et des libertés (CNIL) et portées à la connaissance des salariés (CAA Lyon, 6ème ch., 5 fév. 2015, req. n° 13LY02310). La Cour administrative d’appel de Lyon reprend les dispositions des articles L. 2323-32 et L. 1222-4 du code du travail et de l’article 32 de la loi du 6 janvier 1978, disposant que le comité d’entreprise est informé et consulté, préalablement à la décision de mise en œuvre dans l’entreprise, sur les moyens ou techniques permettant un contrôle des salariés, qu’aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été préalablement porté à sa connaissance et que la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l’a été au préalable, par le responsable du traitement ou son représentant notamment de la finalité poursuivie par le traitement auquel les données sont destinées ;
III – Lignes directrices pour l’employeur
En conséquence, et en vue d’un traitement loyal et licite des futures collectes de données, l’employeur qui envisage d’installer un système de géolocalisation doit ;
– informer la CNIL, via une déclaration.
– informer par voie de consultation le comité d’entreprise ou à défaut les délégués du personnel.
– Le CHSCT doit également être consulté dans la mesure où un tel projet est susceptible de modifier les conditions de travail.
– informer individuellement les salariés concernés par la mise en place du dispositif, mais surtout les informer sur la finalité du traitement des données, le type d’informations enregistrées et leur durée de conservation, l’identité ou la catégorie de personnes ayant accès aux données et l’existence d’un droit d’accès aux données.
L’employeur doit en outre s’interroger sur la finalité de son projet, il doit veiller à :
– La nécessité et la pertinence de son projet
– N’utiliser un système de géolocalisation pour contrôler la durée du temps de travail d’un salarié uniquement lorsqu’aucun autre moyen n’est possible.
– Ne pas utiliser un tel dispositif de géolocalisation installé dans un véhicule mis à la disposition d’un employé : Pour contrôler le respect des limitations de vitesse. Pour contrôler un employé en permanence. En particulier, il ne peut pas être utilisé : Dans le véhicule d’un salarié disposant d’une liberté dans l’organisation de ses déplacements (ex : VRP), ou en dehors de son temps de travail, lorsque l’il est autorisé à utiliser son véhicule à des fins privées.
– Exclure d’emblée un système de géolocalisation pour suivre les déplacements des représentants du personnel dans le cadre de leur mandat.
- Ne pas cumuler ce genre de dispositif avec un autre moyen déjà mis en place dans l’entreprise permettant à calculer le temps de travail des employés.
La CNIL, en revanche considère que des dispositifs de géolocalisation peuvent être installés dans des véhicules utilisés par des employés pour :
– Suivre et facturer une prestation de transport de personnes, de marchandises ou une prestation de services directement liée à l’utilisation du véhicule. Par exemple : les ambulances dans le cadre de la dématérialisation de la facturation de l’assurance maladie ;
– Assurer la sécurité de l’employé, des marchandises ou des véhicules dont il a la charge. Par exemple : un commercial transportant des échantillons de grande valeur dans son véhicule ;
– Mieux allouer des moyens pour des prestations à accomplir en des lieux dispersés, notamment pour des interventions d’urgence. Par exemple : identifier l’employé le plus proche d’une panne d’ascenseur ou l’ambulance la plus proche d’un accident ;
– Accessoirement, suivre le temps de travail, lorsque cela ne peut être opéré par d’autres moyens.
– Respecter une obligation légale ou réglementaire imposant la mise en œuvre d’un dispositif de géolocalisation en raison du type de transport ou de la nature des biens transportés.
Exemple de ce qu’il ne faut pas faire (source La CNIL) :
« Un salarié d’une société souhaitait obtenir de son employeur les relevés du dispositif de géolocalisation installé dans son véhicule à la suite d’un accident de la circulation. La société refusait que les salariés obtiennent une copie de ces documents. Saisie d’une plainte par le salarié, et après plusieurs courriers restés sans réponse, la société a été mise en demeure de fournir au salarié la copie de ses données. Faute de réponse satisfaisante de l’employeur, la CNIL a prononcé une sanction de 10 000 euros à son encontre ».