Géolocalisation des salariés en voiture d'entreprise : 120 000 € d'amende en Italie pour un tracking sans base légale

Cinq salariés, des voitures de fonction équipées de boîtiers satellites, des données collectées pendant les trajets professionnels et personnels — et une amende de 120 000 € infligée par l'autorité italienne de protection des données (Garante). Cette décision publiée début juin 2026 rappelle brutalement que la géolocalisation des salariés est l'un des terrains minés du RGPD : techniquement simple à déployer, juridiquement impossible à sécuriser sans rigueur.

Ce qui s'est passé

Suite à une plainte, le Garante a diligenté une inspection sur site pour examiner les pratiques d'une entreprise dont la maison-mère suisse avait fait installer des dispositifs de suivi par satellite sur les véhicules d'entreprise assignés à cinq salariés. Ces boîtiers enregistraient les horaires, le kilométrage, la consommation de carburant et le style de conduite — y compris lors des déplacements privés, hors temps de travail.

Les données collectées étaient utilisées pour attribuer à chaque salarié un score de comportement au volant et déclencher d'éventuelles mesures correctives. L'inspection a révélé d'autres manquements : les informations transmises aux salariés couvraient l'ensemble du groupe — y compris des entités hors UE — sans indiquer clairement les finalités du traitement, les bases juridiques, ni l'identité des responsables de traitement, sous-traitants et destinataires. L'accès aux données collectées avait même été ouvert à du personnel d'autres sociétés du groupe, sans autorisation appropriée.

Le Garante a sanctionné l'entreprise en tant que sous-traitant (data processor) à hauteur de 120 000 €. Le montant a tenu compte du nombre limité de salariés concernés et de l'arrêt immédiat du traitement illicite dès le dépôt de la plainte. L'autorité a également ordonné la suppression des données relatives aux trajets des salariés collectées via les boîtiers.

Pourquoi c'est important — contexte RGPD

La géolocalisation des salariés est un traitement à haut risque au sens du RGPD. Elle touche à la liberté de mouvement, peut révéler des données sensibles (lieu de culte, établissement de santé fréquenté, domicile d'un proche), et s'exerce dans un contexte de subordination qui rend le consentement inutilisable comme base légale.

L'article 88 du RGPD renvoie aux législations nationales pour encadrer le traitement des données des salariés, et en Italie, la Charte des travailleurs (Statuto dei Lavoratori) impose des garanties spécifiques pour tout dispositif susceptible de contrôler à distance l'activité des employés. Ces garanties n'avaient pas été respectées en l'espèce — ni dans le déploiement du boîtier, ni dans l'information délivrée aux salariés.

Ce cas illustre aussi un point souvent négligé dans les groupes internationaux : la maison-mère qui impose un outil à sa filiale ne la dispense pas de ses obligations propres. Ici, l'entreprise sanctionnée agissait comme sous-traitant pour le compte du groupe suisse, mais c'est bien elle qui a été condamnée — avec obligation de supprimer les données collectées.

Ce n'est pas la première fois que la surveillance numérique des salariés atterrit sur le bureau des DPO. L'activation automatique du check-in Teams via le Wi-Fi du bureau avait déjà soulevé les mêmes questions de base légale et de proportionnalité. La CNIL avait également rappelé ses positions sur les données personnelles des salariés à travers plusieurs prises de position récentes.

Ce que ça change pour les organisations — actions concrètes

Pour les entreprises qui utilisent ou envisagent d'utiliser des dispositifs de géolocalisation sur des véhicules de fonction, cette décision impose une revue immédiate de plusieurs points :

1. Délimiter strictement les finalités. La géolocalisation ne peut être activée que pour des finalités légitimes et proportionnées : sécurité des biens, optimisation des tournées, respect des obligations réglementaires de transport. Le scoring comportemental à des fins disciplinaires est une finalité distincte qui nécessite sa propre base légale — et sa propre AIPD.

2. Exclure les trajets personnels du périmètre. Un boîtier qui continue à enregistrer hors temps de travail est, par nature, disproportionné. Les systèmes techniques doivent permettre une désactivation ou une anonymisation pendant les plages privées. La CNIL et le Garante convergent sur ce point.

3. Mettre à jour le registre des traitements et l'information des salariés. L'information doit être précise : qui traite les données, pour quoi, combien de temps, qui y a accès — y compris au sein du groupe. Les mentions génériques « groupe [X] » sans identification des entités réelles ne satisfont pas à l'obligation de transparence en matière de données RH.

4. Encadrer les accès intragroupes. L'accès aux données de géolocalisation par des entités du groupe non impliquées dans l'exécution du contrat de travail est un transfert de données qui nécessite un cadre contractuel (DPA ou clauses types). Ce point est systématiquement sous-estimé dans les déploiements multi-entités.

5. Réaliser une AIPD. La géolocalisation systématique de salariés entre dans les critères de traitement à risque élevé. Une analyse d'impact est obligatoire avant tout déploiement. Elle doit documenter la nécessité, la proportionnalité et les mesures de mitigation.

Ce que Leto pense de cette décision

Cette affaire est emblématique d'un problème récurrent dans les groupes internationaux : un outil décidé au niveau global, déployé localement sans adaptation au droit du travail de chaque pays, et une information aux salariés traitée comme une formalité plutôt que comme une obligation substantielle. Le fait que la sanction porte sur une entité agissant comme sous-traitant — et non sur la maison-mère décisionnaire — illustre l'un des points aveugles les plus fréquents en conformité groupe.

La décision du Garante envoie un signal clair : les 120 000 € ne sont pas une amende symbolique pour cinq salariés. C'est un avertissement à toutes les entreprises qui déploient des outils de tracking sans avoir sécurisé chaque couche juridique — base légale, proportionnalité, information, limitation d'accès. En France, la CNIL a les mêmes prérogatives et une doctrine similaire sur la protection des données des salariés.

Sources : EDPB — Résumé de la décision du Garante (juin 2026)