Aller au contenu

Déclaration CNIL traceur GPS : faut-il encore la faire en 2026 ? | TRAKmy

Déclaration CNIL et obligations RGPD
Déclaration CNIL pour traceur GPS : faut-il encore la faire ? | TRAKmy

La réponse courte

Non. Depuis le 25 mai 2018 et l'entrée en application du RGPD, la déclaration préalable à la CNIL n'existe plus pour les traceurs GPS professionnels. Ce formulaire administratif a été supprimé. Mais attention : la simplification administrative n'a pas supprimé les obligations — elle les a alourdies. Ce qui remplace la déclaration est bien plus exigeant que le simple envoi d'un formulaire.

Chaque semaine, des responsables RH et des gestionnaires de flotte nous posent la même question : "On doit déclarer les traceurs GPS à la CNIL ?" Beaucoup ont encore en tête les formulaires CERFA de l'ancien régime. La réponse est non — mais cela ne signifie pas qu'il n'y a rien à faire. Bien au contraire.

L'ancien régime : la déclaration CNIL (avant mai 2018)

Avant le RGPD, la loi Informatique et Libertés de 1978 imposait une formalité préalable auprès de la CNIL avant tout traitement de données personnelles. Pour les traceurs GPS professionnels, cela se traduisait par :

  • Un formulaire de déclaration normal pour les usages courants (antivol, gestion de tournées)
  • Une demande d'autorisation pour les usages sensibles (suivi du temps de travail)
  • Un numéro de déclaration délivré par la CNIL, à conserver

Ce système avait un défaut majeur : il créait une fausse sécurité. Les entreprises déclaraient — et pensaient être en règle. La qualité réelle de leur traitement (information des salariés, proportionnalité, durées de conservation) était peu vérifiée. Le RGPD a renversé cette logique.

Ce qui a changé avec le RGPD le 25 mai 2018

Le 25 mai 2018, le RGPD a abrogé le système de déclaration préalable dans toute l'Union européenne. La logique de contrôle ex ante (avant le traitement) a été remplacée par une logique de responsabilisation ex post (l'entreprise est responsable en permanence et doit pouvoir démontrer sa conformité).

❌ Avant 2018 — Déclaration CNIL
Formulaire envoyé à la CNIL avant déploiement
Numéro de déclaration reçu → on était "en règle"
Peu de vérification de la qualité réelle du traitement
Formalité administrative — pas une garantie de conformité
✅ Depuis 2018 — Responsabilisation RGPD
Pas de formulaire à envoyer à la CNIL
Registre interne des traitements à tenir soi-même
Information des salariés obligatoire ET vérifiable
Conformité permanente — contrôlable à tout moment

⚠️ L'erreur à ne pas commettre : confondre "plus de déclaration" avec "moins d'obligations". C'est l'inverse. La responsabilisation RGPD est exigeante précisément parce qu'elle ne repose plus sur une formalité administrative — elle repose sur la qualité réelle de votre traitement, documentée et justifiable à tout moment.

Ce qui remplace la déclaration : le registre des activités de traitement

L'article 30 du RGPD impose à chaque responsable de traitement de tenir un registre des activités de traitement. Ce registre est l'outil central de la conformité RGPD. Il n'est pas envoyé à la CNIL — il est conservé en interne et doit être présenté sur demande lors d'un contrôle.

Pour votre traitement de géolocalisation GPS, votre registre doit documenter :

Informations obligatoires
Nom et coordonnées du responsable du traitement
Finalités du traitement (antivol, optimisation tournées…)
Catégories de personnes concernées (salariés, sous-traitants…)
Catégories de données traitées (positions GPS, kilométrage…)
Destinataires des données (service RH, gestionnaire de parc…)
Transferts hors UE éventuels et garanties associées
Informations recommandées
Base légale du traitement (intérêt légitime, obligation légale…)
Durées de conservation par finalité (2 mois / 1 an / 5 ans)
Mesures de sécurité techniques et organisationnelles
Sous-traitants (plateforme GPS, hébergeur) et leur conformité
Date de mise en place et de dernière révision
Résultats d'une éventuelle AIPD si requise

Format libre : le registre peut être tenu sur papier, en Excel, dans un logiciel dédié ou via les outils de votre DPO. La CNIL met à disposition un modèle de registre sur son site (cnil.fr). L'important est qu'il soit tenu à jour, consultable et présentable en cas de contrôle.

Le bon processus en 2026 — ce qu'il faut faire à la place de la déclaration

1
Documenter les finalités dans votre registre interne

Identifiez précisément pourquoi vous déployez des traceurs GPS : antivol uniquement ? Optimisation des tournées ? Preuve des interventions ? Chaque finalité doit être documentée, avec la base légale correspondante.

2
Consulter le CSE avant le déploiement

Si votre entreprise compte au moins 11 salariés, le CSE doit être informé et consulté avant tout déploiement (art. L.2312-38 CT). Conservez le procès-verbal. Sans cette étape, vous commettez un délit d'entrave distinct des violations RGPD.

3
Informer chaque salarié par écrit

Information individuelle écrite obligatoire : existence du traceur, finalités, durée de conservation, droits du salarié, coordonnées du responsable. Avenant au contrat de travail ou note de service cosignée. L'affichage collectif seul ne suffit pas.

4
Configurer les durées de conservation dans votre plateforme

2 mois pour l'antivol courant, 1 an pour l'optimisation des tournées, 5 ans pour le suivi du temps de travail. Activez la suppression automatique à l'échéance — ne pas le faire est une violation du RGPD même si les données ne sont "pas utilisées".

5
Signer un DPA (Data Processing Agreement) avec votre prestataire

Votre plateforme de géolocalisation est votre sous-traitant au sens de l'article 28 RGPD. Votre contrat doit inclure les clauses obligatoires sur les obligations de sécurité, de confidentialité et de gestion des violations de données.

Les 4 idées reçues persistantes sur la déclaration CNIL et les traceurs GPS

1. "On a déclaré à la CNIL en 2015 — on est en règle."

Faux. L'ancienne déclaration a été caduque en mai 2018 avec le RGPD. Le fait d'avoir déclaré sous l'ancien régime ne crée aucune conformité continue. Votre situation actuelle doit être réévaluée à l'aune des obligations RGPD en vigueur.

2. "La CNIL n'est pas au courant qu'on a des traceurs GPS — donc pas de risque."

Le RGPD a justement supprimé le mécanisme qui informait la CNIL des traitements. La CNIL n'attend plus de déclaration — mais elle peut contrôler à tout moment sur plainte d'un salarié ou par initiative propre. Et en cas de contrôle, c'est votre registre et vos pratiques qui sont évalués, pas une déclaration.

3. "On a informé les salariés oralement lors d'une réunion d'équipe — ça suffit."

Non. L'information doit être individuelle et écrite. Une réunion collective avec une information orale générale est insuffisante. Chaque salarié concerné doit recevoir une information écrite personnelle, datée, avec accusé de réception idéalement.

4. "On stocke les données GPS depuis 3 ans — les garder ne coûte rien."

Conserver des données GPS au-delà des durées légales est une violation du RGPD, même si les données ne sont pas utilisées activement. La durée maximale pour l'usage courant est de 2 mois. Conserver 3 ans sans justification vous expose à une sanction CNIL.

Faut-il encore déclarer un traceur GPS à la CNIL en 2026 ?
Non. La déclaration préalable à la CNIL a été supprimée avec le RGPD le 25 mai 2018. Ce qui la remplace est plus exigeant : tenir un registre interne des activités de traitement, informer individuellement chaque salarié par écrit, consulter le CSE avant le déploiement, et respecter les durées de conservation fixées par la CNIL.
Qu'est-ce qui remplace la déclaration CNIL pour un traceur GPS ?
Trois obligations principales remplacent la déclaration : 1) Le registre interne des activités de traitement (art. 30 RGPD), tenu en interne et présentable en cas de contrôle. 2) L'information individuelle écrite de chaque salarié avant déploiement. 3) La consultation du CSE (si ≥ 11 salariés). Ces obligations sont plus contraignantes que la simple déclaration administrative de l'ancien régime.
Que risque-t-on si on n'a pas de registre de traitement ?
L'absence de registre des activités de traitement est une violation de l'article 30 du RGPD, passible d'une amende administrative de la CNIL pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial. En pratique, la CNIL commence souvent par une mise en demeure avant d'infliger une amende — mais la mise en demeure est déjà un signal sérieux.

Déployez vos traceurs GPS en toute conformité

TRAKmy met à disposition les outils et les guides pour un déploiement conforme RGPD dès le premier jour. Demandez un devis.

Demander un devis →