Géolocalisation véhicule : cadre CNIL 2026

La géolocalisation des véhicules professionnels est un outil puissant pour optimiser la gestion de flotte et renforcer la sécurité. Mais son utilisation est strictement encadrée par le RGPD, le Code du travail et les recommandations de la CNIL.
En 2026, les entreprises doivent concilier performance opérationnelle et respect des droits des salariés.

Regard de la CNIL sur la géolocalisation : ce que dit la loi

La loi Informatique et Libertés impose une finalité déterminée, explicite et légitime à l’utilisation par l'entreprise d'un dispositif de tracking de véhicule.

La CNIL considère que la mise en œuvre d’un système de repérage à distance des véhicules d’une entreprise n’est admissible que si elle a pour finalité :

• La sécurité des marchandises, de l’employé ou du véhicule professionnel dont il a la charge.
• Le suivi du temps de travail, lorsqu’aucun autre moyen n’existe (par exemple, les chauffeurs de camions sont déjà équipés d’un chronotachygraphe).
• Le suivi des prestations liées à l’utilisation du véhicule (ex : ramassage scolaire…).
• L’amélioration de la gestion des moyens pour gérer des prestations dans des lieux éloignés (ex : chauffeurs de taxis, interventions en urgence…).

En cas de non-respect du RGPD et des règles encadrant la géolocalisation, l’entreprise s’expose à des sanctions administratives pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, conformément au RGPD.

Les obligations pesant sur l’employeur

L’employeur qui souhaite équiper sa flotte d’entreprise de dispositifs de géolocalisation doit impérativement respecter un certain nombre de contraintes :

• Informer les salariés de l’entreprise : avant la mise en place d’un système de géolocalisation au sein de son entreprise, l’employeur doit consulter les représentants du personnel et informer individuellement chacun des salariés. L’information doit être donnée par écrit, contresignée par chaque salarié, et indiquer clairement le cadre de la géolocalisation (finalité, conservation et utilisation des données, etc.)
• Lorsque le véhicule peut être utilisé à des fins privées ou en dehors du temps de travail, l’employeur doit prévoir un dispositif permettant la désactivation de la géolocalisation.
• L’employeur doit également respecter le principe de minimisation des données, sécuriser les informations collectées (chiffrement, accès restreint) et, lorsque le traitement présente un risque élevé pour les droits et libertés des salariés, réaliser une analyse d’impact relative à la protection des données (DPIA).

Gouvernance RGPD et documentation interne en entreprise

La mise en place d’un dispositif de géolocalisation des véhicules professionnels ne se limite pas à l’information des salariés. Elle doit s’inscrire dans une véritable démarche de conformité RGPD et de gouvernance des données au sein de l’entreprise.

Registre des traitements et base légale

Tout système de tracking de véhicule doit être inscrit dans le registre des traitements tenu par l’entreprise ou son DPO. Ce document doit préciser :

• La finalité exacte du dispositif

• La base légale retenue (intérêt légitime, obligation légale…)

• Les catégories de données collectées

• Les destinataires des données

• La durée de conservation

L’intérêt légitime est généralement la base juridique utilisée en matière de géolocalisation de flotte, à condition que le dispositif soit proportionné et qu’il ne porte pas atteinte aux droits fondamentaux des salariés.

Analyse d’impact (DPIA) et évaluation des risques

Lorsque le dispositif permet un suivi régulier et systématique des déplacements, une analyse d’impact relative à la protection des données (DPIA) peut être nécessaire.

Cette évaluation doit analyser :

• Les risques pour la vie privée des salariés

• Les mesures de sécurité mises en place

• Les garanties prévues (désactivation hors temps de travail, accès restreint, anonymisation)

Cette démarche renforce la sécurité juridique de l’entreprise en cas de contrôle de la CNIL et démontre une approche proactive en matière de protection des données personnelles.

Les limites à ne pas franchir

Le dispositif doit strictement respecter la finalité définie dans le registre des traitements RGPD tenu par l’entreprise. Depuis l’entrée en vigueur du RGPD, aucune déclaration préalable auprès de la CNIL n’est requise, mais l’employeur doit être en mesure de démontrer la conformité du traitement. À aucun moment, l’entreprise ne peut utiliser le dispositif pour surveiller son salarié en dehors du cadre légal.

Les données issues de la géolocalisation peuvent être utilisées à des fins disciplinaires uniquement si cette finalité a été clairement définie, portée à la connaissance des salariés et mise en œuvre de manière proportionnée.

Enfin, les données récoltées par le dispositif ne peuvent être conservées au-delà de la durée nécessaire à leur traitement. Aucun délai fixe n’est imposé par la loi. La CNIL recommande en principe une conservation limitée à deux mois pour les données de géolocalisation, sauf justification particulière (paie, facturation, contentieux), auquel cas une durée plus longue peut être admise. Il est possible de conserver les données à des fins statistiques à la condition de les rendre anonymes.

Bonnes pratiques pour une géolocalisation conforme et acceptée

Au-delà du strict respect de la réglementation, la réussite d’un projet de géolocalisation de véhicules professionnels repose sur la transparence et l’adhésion des équipes.

Transparence et dialogue social

Une politique claire de suivi des véhicules permet d’éviter les tensions internes. Il est recommandé de :

• Formaliser une charte interne de géolocalisation

• Associer le CSE en amont du projet

• Expliquer les objectifs (sécurité, optimisation, protection des biens)

• Présenter les limites du dispositif

Une communication pédagogique réduit les risques de contentieux prud’homal liés à la surveillance des salariés.

Paramétrage proportionné et sécurisé

Un dispositif conforme doit être paramétré de manière raisonnable :

• Pas de suivi en continu 24h/24 sans justification

• Désactivation automatique hors temps de travail

• Accès restreint aux données aux seuls responsables habilités

• Journalisation des accès

Les entreprises doivent également choisir un prestataire garantissant :

• Hébergement des données dans l’Union européenne

• Chiffrement des communications

• Conformité contractuelle RGPD

Un système de géolocalisation conforme CNIL est avant tout un dispositif proportionné, sécurisé et aligné avec les droits des salariés.

À retenir

• La géolocalisation des véhicules professionnels est autorisée si la finalité est légitime (sécurité, gestion, suivi d’activité).

• L’employeur doit informer clairement les salariés et consulter les représentants du personnel.

• Aucune déclaration préalable à la CNIL n’est requise, mais l’entreprise doit documenter sa conformité RGPD (registre des traitements, éventuellement DPIA).

• Les données collectées doivent être pertinentes, limitées et sécurisées (principe de minimisation).

• La conservation des données doit être limitée dans le temps (en principe 2 mois, sauf justification spécifique).

• La géolocalisation ne peut pas servir à une surveillance permanente ou disproportionnée des salariés.

• En cas de non-respect du RGPD, les sanctions peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial.

Comparez gratuitement les solutions professionnelles conformes au RGPD et recevez jusqu’à 4 devis personnalisés pour équiper votre flotte en toute sérénité.