Aller au contenu

RGPD et géolocalisation : guide complet 2026 pour entreprises | TRAKmy

Guide complet RGPD et géolocalisation 2026
RGPD et géolocalisation : guide complet 2026 pour entreprises | TRAKmy

L'essentiel à retenir

Depuis mai 2018, les entreprises n'ont plus à déclarer leurs traceurs GPS à la CNIL — la déclaration préalable a disparu avec le RGPD. Mais les obligations substantielles persistent et sont même renforcées : tenir un registre des activités de traitement, informer les salariés par écrit, respecter les durées de conservation selon la finalité, et donner un accès à la désactivation pour les véhicules de fonction. Ce guide vous donne le parcours de conformité complet — et ce que TRAKmy fait nativement pour vous faciliter la tâche.

Le RGPD (Règlement Général sur la Protection des Données, entré en application le 25 mai 2018) a profondément changé l'approche des entreprises en matière de données personnelles — y compris pour la géolocalisation de leurs véhicules et de leurs salariés. La logique a basculé d'une déclaration formelle préalable à un principe de responsabilisation continue : chaque entreprise est responsable de sa conformité et doit être capable de la démontrer à tout moment.

Les 5 principes RGPD applicables à la géolocalisation

🎯
Finalité
Les données GPS ne peuvent être collectées que pour des finalités déterminées, légitimes et explicites. Tout usage non prévu est interdit.
⚖️
Minimisation
Ne collecter que les données strictement nécessaires à la finalité. Pas de suivi en temps réel permanent si une position par heure suffit.
📅
Limitation de conservation
Les données ne peuvent être conservées que le temps nécessaire à la finalité. La CNIL fixe des plafonds selon l'usage.
🔒
Sécurité
Les données GPS doivent être stockées de façon sécurisée, avec accès restreint aux personnes qui en ont besoin.
👤
Droits des personnes
Les salariés disposent de droits (accès, rectification, opposition) auxquels l'entreprise doit pouvoir répondre.
📋
Responsabilité
L'entreprise doit documenter sa conformité et être capable de la démontrer en cas de contrôle CNIL.

Quelle base légale pour votre traceur GPS ?

Toute collecte de données personnelles doit reposer sur une base légale parmi les six prévues par le RGPD. Pour la géolocalisation professionnelle, deux bases sont pertinentes :

L'intérêt légitime — la base recommandée

La base légale recommandée par la CNIL pour la géolocalisation des véhicules professionnels est l'intérêt légitime de l'employeur (article 6.1.f du RGPD). Cela implique un test de mise en balance : l'intérêt de l'entreprise doit l'emporter sur l'impact sur la vie privée des salariés. Cet équilibre est atteint si les finalités sont proportionnées et si les salariés en sont informés.

L'obligation légale — pour certains transports réglementés

Certaines activités (transport de matières dangereuses, transport sanitaire, taxis…) sont soumises à une obligation légale de géolocalisation. Dans ce cas, la base légale est l'article 6.1.c du RGPD (obligation légale), ce qui simplifie la conformité.

⚠️ Le consentement du salarié n'est pas la bonne base légale : utiliser le consentement comme base légale pour la géolocalisation des salariés est problématique — le consentement doit être libre, ce qui est difficile à garantir dans un contexte de subordination. La CNIL recommande l'intérêt légitime plutôt que le consentement pour ce type de traitement.

Finalités autorisées et interdites par la CNIL

La CNIL reconnaît cinq finalités légitimes pour la géolocalisation professionnelle :

  • Sécurité des personnes et des biens : protection des véhicules contre le vol, sécurité des travailleurs isolés
  • Optimisation des tournées et allocation des ressources : amélioration de la gestion de parc, réduction des kilomètres
  • Justification des prestations : preuve de passage chez un client, facturation à l'usage ou à l'heure
  • Respect d'une obligation légale : tachygraphe numérique, transport réglementé
  • Contrôle du temps de travail : uniquement si aucun autre moyen n'est disponible — c'est le cas le plus sensible

En revanche, certains usages sont expressément interdits même avec information préalable :

  • Contrôle du respect des limitations de vitesse en temps réel à des fins disciplinaires
  • Surveillance permanente et continue, y compris pendant les pauses
  • Suivi des représentants du personnel dans le cadre de leur mandat
  • Géolocalisation hors temps de travail (domicile-travail, pauses déjeuner)
  • Suivi d'un salarié disposant d'une autonomie d'organisation dans ses déplacements (VRP, commercial autonome)

Durées de conservation des données GPS : le tableau définitif

Finalité du traitement Durée maximale CNIL Application pratique
Usage courant (antivol, suivi de parc, contrôle de zone) 2 mois Standard pour la plupart des entreprises
Optimisation des tournées + preuve d'interventions 1 an Prestataires de services, livreurs, techniciens
Suivi du temps de travail (si aucun autre moyen) 5 ans Cas très encadré — justification obligatoire

📌 Ces durées sont des plafonds, pas des minimums. Si votre finalité est l'antivol et que vous n'avez pas eu de vol en 6 ans, rien ne vous oblige à conserver les données 2 mois complets — vous pouvez supprimer plus tôt. En revanche, dépasser le plafond applicable sans justification est une violation du RGPD. Configurez des suppressions automatiques dans votre plateforme de géolocalisation.

Les 6 obligations à respecter avant de déployer

1
Définir et documenter les finalités

Avant le premier traceur installé, rédigez par écrit les finalités précises du traitement. Elles figureront dans votre registre et dans vos communications aux salariés. Évitez les formulations vagues — "gestion de parc" est plus robuste que "contrôle des salariés".

2
Consulter le CSE (obligatoire si ≥ 11 salariés)

Avant tout déploiement, le Comité Social et Économique doit être informé et consulté (art. L.2312-38 du Code du travail). Conservez le procès-verbal de la réunion mentionnant le projet. Sans cette consultation, le déploiement est un délit d'entrave.

3
Informer individuellement chaque salarié

Information écrite obligatoire : existence du traceur, finalités, durée de conservation, droits des salariés (accès, rectification, opposition), coordonnées du responsable du traitement. Cette information peut figurer dans un avenant au contrat, une note de service ou le règlement intérieur.

4
Inscrire le traitement dans le registre RGPD

Depuis mai 2018, la déclaration à la CNIL n'est plus obligatoire — mais le registre interne des activités de traitement est obligatoire. La géolocalisation de vos véhicules doit y figurer avec les finalités, les catégories de données, les durées de conservation, les destinataires et les mesures de sécurité.

5
Prévoir la désactivation pour les véhicules de fonction

Pour les véhicules de fonction utilisés aussi à titre personnel, un mécanisme de désactivation du tracking doit être accessible au salarié en dehors de ses heures de travail (bouton "vie privée"). Cette obligation est clairement posée par la CNIL.

6
Vérifier la conformité de votre prestataire de géolocalisation

Votre plateforme GPS est un sous-traitant au sens de l'article 28 du RGPD. Votre contrat de service doit inclure les clauses obligatoires de sous-traitance : obligations de confidentialité, sécurité des données, lieu d'hébergement, sous-traitance ultérieure.

Droits des salariés — et comment y répondre

Tout salarié géolocalisé dispose des droits suivants sur ses données :

  • Droit d'accès : le salarié peut demander à consulter toutes les données GPS le concernant — positions, historique, données de comportement de conduite
  • Droit de rectification : si des données sont inexactes (erreur de géolocalisation, mauvaise attribution), le salarié peut en demander la correction
  • Droit d'opposition pour motif légitime : le salarié peut s'opposer au traitement s'il justifie d'une situation particulière. L'employeur peut refuser si ses intérêts légitimes l'emportent
  • Droit à l'effacement : à la fin du contrat de travail, les données personnelles du salarié doivent être supprimées selon les durées légales

Délai de réponse : vous avez 1 mois pour répondre à une demande d'exercice de droits RGPD, prorogeable à 3 mois pour les demandes complexes. L'absence de réponse expose à une plainte devant la CNIL et à une sanction administrative.

Ce que TRAKmy fait nativement pour votre conformité RGPD

TRAKmy a conçu sa plateforme avec les obligations RGPD comme contraintes de départ — pas comme des fonctionnalités ajoutées après coup. Voici ce qui est disponible nativement :

Hébergement des données en France — pas de transfert hors UE
Bouton "vie privée" — désactivation du tracking en dehors des heures de travail
Durées de conservation configurables par traitement selon les recommandations CNIL
Suppression automatique des données à l'échéance — aucune action manuelle requise
API RGPD — réponse aux demandes d'accès et d'effacement des personnes concernées
Contrôle des accès par rôle — seules les personnes autorisées voient les données
Chiffrement AES des données en transit et au repos
Contrat de sous-traitance RGPD (DPA) disponible avec clauses art. 28

En revanche, certaines obligations restent à votre charge — TRAKmy ne peut pas les faire à votre place :

  • Rédiger les informations individuelles aux salariés (avenant ou note de service)
  • Consulter le CSE avant le déploiement
  • Inscrire le traitement dans votre registre interne des activités de traitement
  • Désigner un DPO si votre activité l'exige

Checklist RGPD géolocalisation

☑️Finalités définies par écrit — déterminées, légitimes, explicites avant tout déploiement
☑️CSE informé et consulté — PV de réunion conservé (si ≥ 11 salariés)
☑️Information individuelle écrite — avenant, note de service ou règlement intérieur pour chaque salarié concerné
☑️Registre des traitements mis à jour — avec finalités, catégories de données, durées de conservation, mesures de sécurité
☑️Durée de conservation configurée — 2 mois / 1 an / 5 ans selon la finalité, suppression automatique activée
☑️Bouton vie privée accessible pour les véhicules de fonction à usage mixte
☑️Contrat sous-traitant RGPD signé avec TRAKmy (DPA art. 28)
☑️Procédure de réponse aux droits définie (qui répond, dans quel délai, comment)
☑️DPO impliqué si votre activité l'exige (traitement à grande échelle de données sensibles)
Faut-il déclarer un traceur GPS à la CNIL ?
Non, depuis le RGPD (mai 2018), la déclaration préalable à la CNIL a été supprimée. Elle est remplacée par la tenue en interne d'un registre des activités de traitement, que l'entreprise conserve et présente sur demande lors d'un contrôle CNIL. Ce registre n'est pas envoyé à la CNIL — mais il doit être tenu à jour et complet.
Quelle est la durée de conservation légale des données GPS ?
La CNIL fixe trois durées maximales selon la finalité : 2 mois pour l'usage courant (antivol, suivi de parc), 1 an pour l'optimisation des tournées et la preuve d'interventions, et 5 ans pour le suivi du temps de travail (uniquement si aucun autre moyen n'est disponible). Ces durées sont des plafonds — pas des minimums.
Quelle base légale pour la géolocalisation professionnelle ?
La CNIL recommande l'intérêt légitime de l'employeur (art. 6.1.f RGPD) comme base légale pour la géolocalisation des véhicules professionnels — à condition que cet intérêt soit proportionné et que les salariés soient informés. Le consentement n'est pas recommandé comme base légale dans un contexte de subordination.
Un salarié peut-il refuser la géolocalisation ?
Si toutes les obligations légales sont respectées (information, CSE, finalités légitimes), le salarié ne peut pas s'opposer au tracking pendant ses heures de travail. En revanche, pour un véhicule de fonction à usage mixte, il doit pouvoir désactiver la géolocalisation en dehors de ses heures de travail via un bouton "vie privée".
Quelles sanctions CNIL pour non-conformité sur la géolocalisation ?
Les sanctions CNIL peuvent atteindre jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel (le montant le plus élevé). En pratique, pour une PME, les sanctions documentées vont de quelques milliers à plusieurs centaines de milliers d'euros selon la gravité. Des sanctions pénales séparées (art. 226-1 CP) peuvent s'y ajouter.

Déployez votre géolocalisation en conformité RGPD

Hébergement France, bouton vie privée, durées de conservation configurables, DPA sous-traitant disponible. Demandez un devis adapté à votre activité.

Demander un devis →