Le 4 octobre 2022, l'autorité de surveillance slovène (SA) a ordonné à un responsable de traitement de cesser de traiter les données des employés qui étaient collectées par un suivi GPS continu, systématique et automatique.
Celui-ci a mis en place un suivi GPS de sept véhicules d'entreprise en 2009, après un vol commis sur le lieu de travail, afin d'assurer les véhicules, les équipements coûteux et les documents qui s'y trouvent en cas d'un nouveau vol.
La nécessité d'un traitement pour la collecte de données du suivi GPS
Le responsable de traitement considérait que les individus n'étaient pas identifiables, et qu'un traitement n'était donc pas nécessaire.
Toutefois, l'autorité de surveillance slovène a retenu que les données étaient traitées de manière continue, systématique et automatique, de sorte que l'employeur pouvait déterminer à tout moment où se trouvait une personne voyageant avec l'un des véhicules. Les données étaient également accessibles a posteriori, lui permettant de déterminer l'employé qui utilisait le véhicule de société et à qui les données de localisation étaient attribuables.
De ce fait, les individus étaient identifiables. Un traitement était donc nécessaire.
L'intérêt légitime du traitement et le principe de minimisation des données
La question était de savoir si la collecte des données par un suivi GPS était légal conformément à l'article 6.1 (f), relatif à l'intérêt légitime du responsable de traitement, et à l'article 5.1 relatif au principe de minimisation des données, du Règlement Général sur la Protection des Données (RGPD).
L'autorité slovène de surveillance a confirmé qu'assurer la sécurité des biens peut constituer un intérêt légitime pour le responsable du traitement des données, à la condition de démontrer que la manière dont la mesure était mise en œuvre était appropriée et nécessaire.
Elle a décidé que le suivi GPS permanent était disproportionné. D'autres mesures moins intrusives pouvaient être mises en œuvre. En effet, le conducteur peut allumer la géolocalisation lorsqu'il quitte le véhicule, jusqu'à ce qu'il soit à nouveau sous la surveillance directe d'un employé. De plus, en ce qui concerne la sécurité des personnes en cas d'accident de la circulation, le lieu est déjà connu, ou peut être signalé par le conducteur. Il n'est alors pas nécessaire de géolocaliser le véhicule de façon permanente.
De ce fait, le responsable du traitement n'a pas démontré l'existence d'intérêts légitimes, puisque les mesures prises ne sont pas appropriées et nécessaires.
De plus, le suivi GPS n'était pas conforme au principe de minimisation des données, puisque la géolocalisation permettait de collecter, de façon continue, les données des employés.
💡 La CNIL a déjà évoqué le sujet, en condamnant, le 7 juillet 2022, la société Ubeeqo International à une amende de 175 000 euros pour avoir porté une atteinte disproportionnée à la vie privée de ses clients en les géolocalisant de manière quasi-permanente.