Slovénie : mise en demeure d'un responsable de traitement pour la collecte permanente de données par un suivi GPS

Slovénie : mise en demeure d'un responsable de traitement pour la collecte permanente de données par un suivi GPS
Maëva Vidal

Le 4 octobre 2022, l'autorité de surveillance slovène (SA) a ordonné à un responsable de traitement de cesser de traiter les données des employés qui étaient collectées par un suivi GPS continu, systématique et automatique.

Celui-ci a mis en place un suivi GPS de sept véhicules d'entreprise en 2009, après un vol commis sur le lieu de travail, afin d'assurer les véhicules, les équipements coûteux et les documents qui s'y trouvent en cas d'un nouveau vol.

La nécessité d'un traitement pour la collecte de données du suivi GPS

Le responsable de traitement considérait que les individus n'étaient pas identifiables, et qu'un traitement n'était donc pas nécessaire.

Toutefois, l'autorité de surveillance slovène a retenu que les données étaient traitées de manière continue, systématique et automatique, de sorte que l'employeur pouvait déterminer à tout moment où se trouvait une personne voyageant avec l'un des véhicules. Les données étaient également accessibles a posteriori, lui permettant de déterminer l'employé qui utilisait le véhicule de société et à qui les données de localisation étaient attribuables.

De ce fait, les individus étaient identifiables. Un traitement était donc nécessaire.

L'intérêt légitime du traitement et le principe de minimisation des données

La question était de savoir si la collecte des données par un suivi GPS était légal conformément à l'article 6.1 (f), relatif à l'intérêt légitime du responsable de traitement, et à l'article 5.1 relatif au principe de minimisation des données, du Règlement Général sur la Protection des Données (RGPD).

L'autorité slovène de surveillance a confirmé qu'assurer la sécurité des biens peut constituer un intérêt légitime pour le responsable du traitement des données, à la condition de démontrer que la manière dont la mesure était mise en œuvre était appropriée et nécessaire.

Elle a décidé que le suivi GPS permanent était disproportionné. D'autres mesures moins intrusives pouvaient être mises en œuvre. En effet, le conducteur peut allumer la géolocalisation lorsqu'il quitte le véhicule, jusqu'à ce qu'il soit à nouveau sous la surveillance directe d'un employé. De plus, en ce qui concerne la sécurité des personnes en cas d'accident de la circulation, le lieu est déjà connu, ou peut être signalé par le conducteur. Il n'est alors pas nécessaire de géolocaliser le véhicule de façon permanente.

De ce fait, le responsable du traitement n'a pas démontré l'existence d'intérêts légitimes, puisque les mesures prises ne sont pas appropriées et nécessaires.

De plus, le suivi GPS n'était pas conforme au principe de minimisation des données, puisque la géolocalisation permettait de collecter, de façon continue, les données des employés.

💡 La CNIL a déjà évoqué le sujet, en condamnant, le 7 juillet 2022, la société Ubeeqo International à une amende de 175 000 euros pour avoir porté une atteinte disproportionnée à la vie privée de ses clients en les géolocalisant de manière quasi-permanente.


newsletter

Inscrivez-vous à notre newsletter

Nous vous enverrons quelques emails pour vous tenir informé de notre actualité et des nouveautés de notre solution *

*Vous pourrez toujours vous désinscrire sur chaque newsletter. En savoir plus.

Renforcement de la cybersécurité en Europe par la Directive NIS 2

La Directive NIS2 sur la cybersécurité vise à harmoniser les règles nationales en matière de cybersécurité et à établir un cadre réglementai...

Maëva Vidal

Nouvelle version 1.5.1 : planification et domaines e-mails

L'équipe R&D de Dastra s'est focalisée sur de nombreuses nouveautés.

Antoine Bidault

La protection des données personnelles : une défense nécessaire pour l'individu en cas d'abus

L'AEPD a sanctionné un syndicat de copropriété pour avoir inclus, sans le consentement de la personne concernée, le numéro de téléphone dans...

Maëva Vidal

Procédure simplifiée de la CNIL : les premières sanctions déjà en 2022 !

La CNIL inflige les premières sanctions sur la base de la procédure simplifiée.

Jérôme  de Mercey

Envie de vous lancer ?

Découvrez Dastra en créant un compte en quelques minutes et commencez à cartographier vos traitements, faire des audits... Vous pouvez également nous contacter pour une démonstration adaptée à vos besoins.

Essayez gratuitement Demander une démo

Essai gratuit 30 jours - Sans carte bleue - Sans engagement