La géolocalisation afin de surveiller les horaires de travail, est illicite
Publié le 22/01/2018 par Etienne Wery
Le Conseil d’Etat estime que l’utilisation par un employeur d’un système de géolocalisation pour assurer le contrôle de la durée du travail de ses salariés, n’est licite que lorsque ce contrôle ne peut pas être fait par un autre moyen, fût-il moins efficace que la géolocalisation. En dehors de cette hypothèse, la collecte et le traitement de telles données à des fins de contrôle du temps de travail doivent être regardés comme excessifs au sens de la loi.
Les faits
En 2012, la société Odeolis, qui est spécialisée dans la maintenance de systèmes informatiques, notamment de terminaux de paiement, et dont l’activité s’étend sur tout le territoire national, a équipé les véhicules utilisés par ses techniciens itinérants de dispositifs de géolocalisation en temps réel afin, notamment, de mieux planifier ses interventions.
Au-delà de la planification des interventions, ces dispositifs permettent de collecter diverses données relatives, notamment, au temps de travail des salariés.
Le 13 janvier 2016, une délégation de la CNIL a procédé à un contrôle sur place dans les locaux de la société à Aix-en-Provence, à la suite duquel la présidente de la CNIL a, par une décision du 27 juillet 2016, mis en demeure la société d’adopter un certain nombre de mesures afin de faire cesser les manquements constatés à diverses dispositions de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
Au terme d’une longue procédure administrative, le dossier se retrouve devant le Conseil d’Etat : la société demande en effet l’annulation pour excès de pouvoir d’une décision de la CNIL en tant qu’elle la met en demeure de cesser de traiter les données issues de l’outil de géolocalisation afin de contrôler le temps de travail des salariés.
Des données adéquates, pertinentes et non excessives
Conformément l’article 6 de la loi du 6 janvier 1978 : « Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes :
1° Les données sont collectées et traitées de manière loyale et licite (…)
3° Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs… »
L’idée derrière cette disposition est de limiter les traitements à ce qui est nécessaire eu égard à la finalité poursuivie par ledit traitement.
La même idée se retrouve en droit du travail, et plus spécifiquement à l’article L. 1121-1 du code du travail selon lequel « Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché ».
L’arrêt rendu
Pour le Conseil d‘Etat, « Il résulte de ces dispositions que l’utilisation par un employeur d’un système de géolocalisation pour assurer le contrôle de la durée du travail de ses salariés n’est licite que lorsque ce contrôle ne peut pas être fait par un autre moyen, fût-il moins efficace que la géolocalisation. En dehors de cette hypothèse, la collecte et le traitement de telles données à des fins de contrôle du temps de travail doivent être regardés comme excessifs au sens du 3° de l’article 6 de la loi du 6 janvier 1978 précité. »
Le principe de minimisation
Le Conseil d’Etat se montre particulièrement sévère lorsqu’il précise que la géolocalisation n’est licite « que lorsque ce contrôle ne peut pas être fait par un autre moyen, fût-il moins efficace que la géolocalisation ».
Il s’agit d’une application pour le moins intransigeante du principe de proportionnalité puisque s’il y a un autre moyen d’aboutir à la finalité recherchée, fût-il moins efficace que la géolocalisation, il doit être privilégié.
Cette intransigeance s’explique probablement par l’entrée en vigueur prochaine du GDPR dont l’article 5 énonce que « Les données à caractère personnel doivent être: (…) c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) (…). »
On mesure la différence :
- L’article 5, § 1er, c) du Règlement précise que les données doivent être « limitées au minimum nécessaire au regard des finalités du traitement »,
- Alors que la Directive de 1995 (et la loi actuelle) obligeait les responsables à ne traiter que des données « non excessives » au regard des finalités du traitement.
Le Règlement consacre donc le principe de minimisation des données, selon lequel seules les données à caractère personnel qui apparaissent nécessaires à la réalisation de la finalité peuvent être traitées.
Il y a certes toujours un espace de discussion : à partir de quand la diminution d’efficacité empêche-t-elle en fait d’accomplir la finalité recherchée ? Néanmoins, le message de l’arrêt rendu est cohérent avec le libellé du nouveau règlement : le principe de proportionnalité qui régit cette matière doit être respecté de façon probablement plus forte qu’auparavant.
Plus d’infos ?
En lisant l’arrêt rendu, disponible en annexe.