Déployer un système d'asset tracking dans votre entreprise, c'est tracer des équipements — pas des personnes. En théorie. En pratique, dès qu'un traceur est fixé sur un véhicule utilisé par un salarié, les données collectées deviennent des données à caractère personnel. Et le cadre légal s'applique immédiatement.
Voici ce que vous devez savoir avant de déployer, pour rester dans les clous côté RGPD, Code du travail et CNIL.
Asset tracking et données personnelles : où est la frontière ?
Suivre la position d'une benne, d'un échafaudage ou d'un compresseur ne pose aucun problème légal particulier. Ces équipements ne sont pas des personnes — leur localisation ne constitue pas une donnée à caractère personnel au sens du RGPD.
La situation change dès que l'actif suivi est utilisé de façon identifiable par un salarié. Un véhicule de société attribué nominativement, un engin de chantier conduit par le même opérateur chaque jour, un chariot élévateur assigné à un poste fixe — dans ces cas, la position de l'actif renseigne indirectement sur les déplacements, les horaires et les comportements d'une personne.
Base légale — article 6.2 de la loi Informatique et Libertés : toute collecte de données à caractère personnel doit poursuivre « des finalités déterminées, légitimes et explicites ». Cette obligation s'applique dès lors qu'un traceur GPS permet d'identifier, directement ou indirectement, un individu.
Ce que vous pouvez faire — et ce qui est interdit
✓ Finalités autorisées
- Suivi et localisation des actifs pour prévenir le vol
- Optimisation des tournées et planification des interventions
- Justification des temps de présence sur chantier
- Sécurité des salariés isolés ou en déplacement
- Facturation client sur base de données terrain
- Gestion de la maintenance préventive
✗ Finalités interdites
- Contrôle systématique des vitesses de conduite
- Surveillance des représentants du personnel pendant leurs heures de délégation
- Localisation des salariés en dehors des heures de travail
- Collecte de données sans finalité définie ou documentée
- Utilisation des données à des fins disciplinaires non prévues initialement
Point de vigilance : utiliser des données de localisation d'un actif pour prouver qu'un salarié n'était pas où il devait être — alors que la finalité déclarée était la sécurité des biens — constitue un détournement de finalité. Cette preuve sera irrecevable devant le Conseil des Prud'hommes, et l'employeur s'expose à des sanctions CNIL.
Les 6 étapes pour un déploiement légal
Définir les finalités avant tout
Documentez par écrit pourquoi vous déployez le système, quelles données sont collectées et à quelles fins. Cette documentation est la base de toute votre conformité.
Consulter les représentants du personnel
Si votre entreprise dispose d'un CSE, d'un CE ou d'un CHSCT, vous devez les informer et les consulter avant le déploiement. Délai légal minimum : 15 jours. Un avis négatif ne bloque pas le projet, mais le contourner expose l'entreprise.
Inscrire le traitement dans votre registre RGPD
Depuis 2018, il n'y a plus de déclaration préalable à la CNIL — mais toute entreprise doit tenir un registre des activités de traitement à jour. Le traitement de géolocalisation doit y figurer avec sa finalité, ses destinataires et sa durée de conservation.
Informer les salariés par écrit
Chaque salarié concerné doit recevoir une note d'information individuelle avant la mise en service. Courrier remis en mains propres ou email avec accusé de réception. Le contenu doit préciser les données collectées, leur utilisation et les droits du salarié.
Définir et respecter les durées de conservation
La CNIL recommande 2 mois pour les données de localisation courantes, 5 ans maximum pour les données utilisées à des fins de justification contractuelle. Au-delà, les données doivent être supprimées ou anonymisées.
Garantir les droits des salariés
Droit d'accès, de rectification et d'opposition doivent être effectivement exercables. Un salarié peut demander à consulter les données le concernant — vous devez être en mesure de répondre.
Le cas particulier des actifs partagés entre plusieurs salariés
Un même véhicule utilisé par plusieurs conducteurs différents pose une question pratique : les données de localisation permettent-elles d'identifier qui conduisait à quel moment ? Si oui, le traitement reste soumis au RGPD même si aucun nom n'apparaît explicitement dans les données.
La bonne pratique dans ce cas est de dissocier les données de localisation des données d'identité au niveau de l'accès : le responsable de flotte voit les positions, le responsable RH n'y a pas accès sauf besoin documenté et justifié.
Asset tracking transfrontalier : ce qui change
Si vos actifs traversent les frontières — flottes internationales, conteneurs en transit, équipements loués dans plusieurs pays — le cadre légal se complexifie. Le RGPD s'applique dès lors que vous êtes établi en Europe ou que les données concernent des résidents européens. Mais d'autres réglementations nationales peuvent s'y superposer.
- Belgique — la Commission de la protection de la vie privée (APD) impose des obligations similaires au RGPD, avec une attention particulière aux traitements en contexte d'emploi
- Suisse — la nouvelle LPD (Loi sur la Protection des Données), en vigueur depuis 2023, s'aligne largement sur le RGPD mais avec quelques spécificités locales
- Hors UE — tout transfert de données vers un pays tiers sans décision d'adéquation de la Commission européenne nécessite des garanties contractuelles spécifiques (clauses contractuelles types)
TRAKmy opère en France, Belgique, Suisse et Luxembourg. Notre plateforme stocke les données en Europe et est conforme au RGPD. Si vous déployez dans plusieurs pays, notre équipe peut vous accompagner sur les spécificités locales.
Ce que les salariés craignent — et comment y répondre
L'asset tracking est souvent bien accepté quand les actifs suivis sont des équipements. La résistance apparaît quand les salariés perçoivent le système comme un outil de surveillance de leur comportement plutôt que de leurs outils.
Trois sources d'inquiétude reviennent systématiquement :
- « On va me contrôler en permanence » — répondez avec la finalité déclarée et les limitations d'accès aux données
- « Les données serviront à me sanctionner » — expliquez le principe de détournement de finalité et les protections légales dont ils disposent
- « Je suis suivi même le week-end » — précisez si le système est désactivé hors temps de travail, ou comment les données hors horaires sont traitées
Un projet de géolocalisation bien communiqué rencontre peu d'opposition durable. L'erreur classique est de traiter la communication comme une formalité administrative — et de laisser le terrain aux rumeurs.
Checklist légale asset tracking
- Finalités documentées, légitimes et proportionnées
- CSE/CHSCT consulté avant déploiement (si applicable)
- Traitement inscrit dans le registre RGPD
- Note d'information individuelle remise à chaque salarié concerné
- Durée de conservation définie et limitée (2 mois recommandés)
- Accès aux données restreint aux personnes ayant un besoin légitime
- Droits d'accès, rectification et opposition garantis
- Pour les flottes internationales : vérification des réglementations locales
Guide gratuit
Comment déployer une solution de géolocalisation en entreprise
Informer les salariés, consulter le CSE, respecter le cadre RGPD — tout le processus étape par étape.
Télécharger le guide PDF →Dans la même série — Asset tracking
Vous souhaitez déployer une solution d'asset tracking conforme pour votre flotte ou vos équipements ? L'équipe TRAKmy vous accompagne.
Découvrir l'offre professionnelle TRAKmy →Quelles sont les étapes à franchir et à respecter pour une mise en place légale de systèmes de géolocalisation dans mon entreprise ? Cette article consiste à vous éclairer sur cette problématique.