Dans une décision du 21 février 2023, la Chambre contentieuse de l'Autorité de protection des données (APD) a évalué la régularité d'un système de géolocalisation (également connu en tant que “track & trace-system”). Cette décision fait suite à une plainte déposée par un travailleur d'une commune après qu'il soit apparu qu'un système de géolocalisation avait été installé dans son véhicule de fonction au moyen duquel la commune avait constaté des fraudes au pointage. L'APD a décidé que le traitement des données de géolocalisation peut être régulier si la base légale appropriée est correctement déterminée et si les obligations de transparence sont respectées. Ce n'était pas le cas au sein de la commune, raison pour laquelle elle s’est vue infliger une réprimande.
Faits
La décision a été rendue dans le cadre d'un litige entre un travailleur et la commune au sein de laquelle il était occupé. Plus précisément, la commune avait constaté que le travailleur en question s'était rendu à son adresse privée, à celle de sa mère, dans un café et avait visité quelques rues au hasard pendant ses heures de travail, commettant ainsi une fraude au pointage.
Le travailleur avait reçu un relevé comparant les heures de pointage enregistrées avec les données de géolocalisation du véhicule. Le travailleur avait ensuite déclaré qu'il n'était pas informé du système de track & trace, et que le système n'était pas mentionné dans le règlement de travail. Le travailleur avait, par conséquent, déposé une plainte auprès de l'APD.
L'enquête avait révélé que la politique de géolocalisation était en place depuis 2009 et qu'une note d'information sur le fonctionnement du système avait été communiquée au personnel de la commune à l'époque. Cette note de service interne indiquait les finalités pour lesquelles le système de géolocalisation était utilisé ainsi que les données traitées par le système et les personnes ayant accès à ces données.
Evaluation de l'APD : licéité et transparence
La note de service étant antérieure à l'entrée en vigueur du Règlement général sur la protection des données (RGPD) en 2018, elle ne précisait pas la base légale sur laquelle la commune se fondait pour traiter les données du track & trace. L'APD a donc jugé que depuis l'entrée en vigueur du RGPD, il y avait une violation du principe de licéité, puisqu’aucune base légale n’était mentionnée.
Au cours de la procédure devant l'APD, la commune a adapté sa politique et a prévu que le traitement des données de géolocalisation serait fondé sur la base légale de l'intérêt légitime. L'APD est en désaccord avec cette base légale, rappelant que les autorités publiques ne peuvent invoquer la base légale de l'intérêt légitime que dans des cas très limités. Plus précisément, l'APD estime que la base légale appropriée pour le système de géolocalisation de la commune est la nécessité d’accomplir une mission d'intérêt public (l’APD soulignant qu’il n’est pas nécessaire que la mission d'intérêt public soit prescrite dans une norme juridique concrète mais qu’elle peut résulter d'une autorisation d'agir plus générale).
En outre, dans son appréciation, l'APD se réfère par analogie au récent arrêt du 13 décembre 2022 de la Cour européenne des droits de l'homme (CEDH), qui a estimé que l'utilisation d'un système de track & trace était limitée à ce qui est nécessaire pour autant que seules soient traitées les données de géolocalisation relatives aux déplacements professionnels avec un véhicule de société (qui pouvait être utilisé tant pour les déplacements privés que professionnels). Étant donné que la commune ne traite effectivement que les données relatives aux déplacements professionnels pendant les heures de travail avec une voiture de service et que les données sont limitées à ce qui est nécessaire, l'APD conclut que le système de géolocalisation de la commune constitue une ingérence moins invasive que d'autres méthodes de surveillance.
En ce qui concerne l'obligation de transparence, l'APD confirme la nécessité d'une politique de géolocalisation distincte et constate que la politique mise à jour par la commune contient toutes les mentions nécessaires (c'est-à-dire la base légale, les finalités, les données traitées, les personnes ayant accès aux données et de quelle manière, et la durée de conservation). En outre, l'APD considère que le simple fait que la commune n'ait pas utilisé la base légale correcte dans le passé ne rend pas nécessairement le traitement irrégulier pour le futur. L'APD ajoute toutefois qu'il appartenait à la commune, en tant que responsable du traitement, de vérifier au moment de l'entrée en vigueur du RGPD si la politique de géolocalisation devait être mise à jour. Etant donné que la commune n'a effectué la mise à jour qu'en cours de procédure, l'APD décide que la commune n'était pas parvenue à démontrer qu'elle avait pris les mesures nécessaires pour respecter les principes de licéité et de transparence.
La commune n'a reçu qu'une réprimande pour ces violations, car l'APD n'est pas habilitée à imposer des amendes administratives aux autorités publiques.
Utilisation d’un système de géolocalisation illégal comme moyen de preuve en droit du travail ?
Bien que les entreprises doivent s'assurer que les systèmes de track & trace sont conformes au RGPD, compte tenu des éventuelles sanctions de l'APD, il n'est pas exclu d'utiliser les données de géolocalisation comme preuve devant les juridictions du travail même si celles-ci ont été obtenues en violation du RGPD. Les juridictions du travail appliquent à cette fin les principes de la jurisprudence dite Antigone.
C'est en ce sens qu'a statué le tribunal du travail néerlandophone de Bruxelles dans un jugement du 10 mai 2021 dans une affaire concernant le licenciement pour motif grave d'un travailleur pour fausse déclaration dans le système CRM. L'employeur avait découvert la fraude sur la base des données GPS, qui avaient été traitées en violation du RGPD (étant donné que le système track & trace était actif en permanence et que la transparence sur le fonctionnement du système était insuffisante). Le tribunal du travail a jugé que les données GPS constituaient des preuves irrégulièrement obtenues, mais qu'elles étaient néanmoins admissibles dès lors que notamment la fiabilité des preuves n'était pas affectée et que le droit à un procès équitable n'était pas compromis.
Dans un jugement récent du 4 novembre 2022, le Tribunal du travail de Liège est arrivé à la même conclusion dans une autre affaire portant sur le licenciement pour motif grave d'un travailleur qui prétendait avoir rendu visite à des clients mais dont il s'est avéré qu'il ne s’était jamais rendu sur place sur la base des données GPS. L'employeur concerné n'avait pas communiqué suffisamment d'informations sur le fonctionnement du système de géolocalisation au personnel, mais la preuve avait néanmoins été jugée recevable.
Point d'action
La mise en place d'un système de géolocalisation est régulière à condition que vous la fondiez sur la bonne base légale (c'est-à-dire l'intérêt légitime dans le secteur privé et l'intérêt public dans le secteur public), qu’il soit satisfait aux conditions de transparence, que les mesures de sécurité techniques et organisationnelles nécessaires aient été prises et que le système soit repris dans le registre des activités de traitement. Lorsque le système existait déjà avant le RGPD, les mesures nécessaires doivent avoir été prises pour le mettre en conformité avec le RGPD.
En outre, dans la mesure où un système de géolocalisation implique la surveillance des données des travailleurs, la réalisation d'une analyse d'impact sur la protection des données (AIPD) est fortement recommandée.
L’équipe Data Protection de Claeys & Engels est à votre disposition pour vous aider à mettre en œuvre ou à actualiser vos politiques de track & trace.
Enfin si les données de track & trace ont déjà été collectées en violation au RGPD, il reste néanmoins possible que ces données soient acceptées comme preuve par les juridictions du travail.