En 2025, la CNIL a renforcé ses contrôles sur les flottes professionnelles équipées de boîtiers télématiques. La géolocalisation figure désormais parmi les trois priorités annuelles de l'autorité, au même titre que la prospection commerciale et la cybersécurité. Voici la check-list 2026 pour passer un contrôle sereinement et éviter les sanctions financières — qui peuvent atteindre plusieurs centaines de milliers d'euros.
1. Registre des traitements à jour
Le traitement « géolocalisation des véhicules » doit figurer explicitement dans le registre RGPD, avec sa finalité, ses destinataires, ses sous-traitants et ses durées de conservation. Le registre doit être daté et signé par le responsable de traitement, et mis à jour à chaque évolution du dispositif (nouvelle finalité, nouveau véhicule, nouveau prestataire).
Notre équipe fournit à chaque client un modèle de fiche de traitement pré-remplie, à intégrer en quelques minutes dans son registre existant.
2. AIPD systématique au-delà de 50 véhicules
L'analyse d'impact relative à la protection des données (AIPD ou DPIA) est obligatoire pour les flottes importantes ou lorsque la géolocalisation est combinée à l'identification du conducteur. Elle doit contenir une description du traitement, une évaluation des risques pour les personnes, et les mesures techniques et organisationnelles mises en place pour les réduire.
L'AIPD doit être actualisée tous les 3 ans ou à chaque évolution majeure du dispositif. Son absence constitue un facteur aggravant en cas de contrôle.
3. Information collective et individuelle
Affichage dans les locaux + remise d'une note individuelle signée par chaque conducteur : les deux sont attendus par la CNIL. La note individuelle doit mentionner toutes les informations exigées par l'article 13 du RGPD : identité du responsable, finalité, base légale, destinataires, durée de conservation, droits du salarié et coordonnées du DPO.
4. Mode privé activable
Bouton physique sur la balise ou commande applicative dans le tableau de bord : le salarié doit pouvoir couper le suivi hors du temps de travail. La désactivation doit être effective immédiatement et garantie par le contrat de sous-traitance avec le prestataire télématique.
5. Sous-traitant conforme
Votre prestataire télématique est qualifié de « sous-traitant » au sens du RGPD. À ce titre, il doit signer un contrat de sous-traitance RGPD (DPA) qui précise les obligations de chaque partie, les mesures de sécurité techniques, et les modalités de notification en cas de violation de données. Tous les contrats Traceur Auto GPS l'incluent par défaut, conformément à l'article 28 du RGPD.
6. Sécurité technique des données
La CNIL vérifie aussi les mesures techniques :
- chiffrement des données en transit (TLS 1.3) et au repos (AES-256) ;
- authentification forte sur la plateforme (2FA recommandée) ;
- journalisation des accès et politique de mots de passe robuste ;
- sauvegardes chiffrées et plan de continuité d'activité documenté.
Notre plateforme intègre toutes ces mesures par défaut et publie chaque année un rapport de sécurité auditable par nos clients.
7. Droit d'accès et portabilité
Tout salarié peut demander à consulter, rectifier ou faire effacer ses données. L'employeur dispose de 30 jours pour répondre. Notre plateforme propose un export complet des données d'un conducteur en un clic, ce qui simplifie le traitement de ces demandes.
Préparer un contrôle CNIL
Un contrôle CNIL peut être annoncé ou inopiné. Voici les documents à avoir en permanence à disposition :
- fiche de traitement extraite du registre RGPD ;
- AIPD si applicable ;
- note d'information signée par chaque salarié ;
- PV de consultation du CSE ;
- contrat de sous-traitance avec le prestataire ;
- politique de durée de conservation et preuve de purges automatiques.
Bonne nouvelle : les clients Traceur Auto GPS bénéficient d'un audit RGPD gratuit chaque année. Nous vérifions avec vous chacun de ces points et vous fournissons un rapport de conformité daté, opposable en cas de contrôle.
