Contrôles CNIL 2025 : bilan flottes pro

L'année 2025 a été marquée par une vague inédite de contrôles CNIL sur les flottes professionnelles. Au total, plus de 230 contrôles ciblés et une quarantaine de sanctions publiques : la géolocalisation figure désormais parmi les trois priorités déclarées de l'autorité. Tour d'horizon des enseignements à retenir pour 2026 et des actions concrètes à mener dès aujourd'hui.

3 motifs de sanction sur 4

Les contrôleurs ont relevé en priorité trois infractions récurrentes :

• Absence de mode privé (38 % des cas) : la géolocalisation reste active 24h/24 sans possibilité pour le salarié de la suspendre.
• Durée de conservation excessive (28 %) : positions brutes conservées plus de 2 mois, rapports détaillés gardés plus d'un an sans justification.
• Défaut d'information individuelle (22 %) : absence de note signée par le salarié, ou information limitée à un affichage collectif insuffisant.

Montants des amendes

Les sanctions vont de 10 000 € pour les TPE à plus de 300 000 € pour les groupes. Quelques exemples publics issus du registre des sanctions CNIL :

• PME de transport (54 véhicules) : 35 000 € pour absence de mode privé et conservation 18 mois.
• Groupe de BTP (220 véhicules) : 180 000 € pour absence d'AIPD et défaut d'information.
• Réseau commercial (110 commerciaux) : 75 000 € pour usage des données à des fins disciplinaires non déclarées.

La récidive est désormais un facteur aggravant majeur : une seconde sanction prononcée dans les 5 ans peut être doublée.

Les contrôles inopinés se généralisent

En 2025, plus d'un tiers des contrôles ont été menés sans avertissement préalable, à la suite d'une plainte de salarié ou d'une alerte syndicale. Les inspecteurs CNIL peuvent demander à consulter immédiatement : registre RGPD, AIPD, contrat de sous-traitance, notes d'information signées et historique des purges automatiques.

Plaintes de salariés en hausse de 47 %

Les plaintes individuelles déposées par des salariés concernant la géolocalisation ont augmenté de 47 % en 2025. Les motifs les plus fréquents : contrôle ressenti hors temps de travail, absence d'information préalable, et utilisation des données dans une procédure disciplinaire ou de licenciement.

Sanctions complémentaires

Au-delà de l'amende administrative, la CNIL peut imposer :

• la publication de la sanction sur son site (impact réputationnel majeur) ;
• l'injonction de mise en conformité sous astreinte (jusqu'à 100 000 € par jour de retard) ;
• la suspension temporaire du traitement, qui revient à éteindre le dispositif télématique pour toute la flotte.

Le réflexe à adopter

Auditer son dispositif chaque année, mettre à jour son registre et former les responsables de flotte. Notre équipe peut accompagner cet audit gratuitement pour nos clients, avec une grille en 38 points reprenant exactement les critères vérifiés par la CNIL.

Check-list express avant audit

1. Fiche de traitement à jour dans le registre ?
2. AIPD réalisée si plus de 50 véhicules ou identification conducteur ?
3. Notes d'information signées par chaque salarié et archivées ?
4. PV de consultation du CSE conservé ?
5. Mode privé fonctionnel et documenté ?
6. Durée de conservation paramétrée à 2 mois maximum sur les positions ?
7. Contrat de sous-traitance RGPD signé avec le prestataire ?
8. Procédure de réponse aux demandes d'accès documentée ?

À retenir : la mise en conformité ne coûte presque rien quand elle est anticipée. Une amende, oui — surtout quand elle s'accompagne d'une publication ou d'une suspension de traitement. L'audit annuel est devenu un réflexe indispensable pour toute flotte équipée.