RGPD et géolocalisation en entreprise
La géolocalisation (et le reverse geocoding) peuvent impliquer des données personnelles. Voici un guide clair pour comprendre les points d’attention RGPD, les bonnes pratiques et comment réduire les risques dans un contexte B2B.
Pourquoi la géolocalisation est un sujet RGPD
Une position GPS peut, selon le contexte, permettre d’identifier directement ou indirectement une personne (par exemple un salarié sur une tournée, un technicien, un livreur, un utilisateur d’application). Dans ce cas, il s’agit de données personnelles et le RGPD s’applique.
Le reverse geocoding (conversion de coordonnées en adresse) peut aussi augmenter le niveau de précision et donc le risque, notamment si l’adresse renvoie à un domicile ou à un lieu sensible.
La question clé : quel est votre cas d’usage ?
Le RGPD n’interdit pas la géolocalisation. Il impose un cadre : finalité claire, minimisation, sécurité, transparence, et conservation limitée.
Exemples souvent légitimes
- Optimisation logistique et suivi de tournée
- Sécurité des biens et des personnes
- Justification d’intervention (terrain/maintenance)
- Amélioration qualité des données (CRM/ERP)
Points sensibles à cadrer
- Suivi “en continu” d’un salarié sans nécessité
- Conservation trop longue des historiques
- Collecte trop précise sans justification
- Absence d’information claire des personnes
L’important est de pouvoir démontrer : “Pourquoi on collecte”, “combien de temps”, “qui accède”, et “comment on sécurise”.
Bonnes pratiques RGPD (checklist pragmatique)
1) Minimisation des données
Ne collectez que ce dont vous avez besoin. Par exemple : réduire la précision, éviter la géolocalisation permanente, ou privilégier des points agrégés si cela suffit.
2) Durée de conservation maîtrisée
Définissez une durée courte et justifiée. Les historiques de positions sont souvent la source principale de risque.
3) Transparence
Informez clairement les personnes concernées (salariés, utilisateurs) : finalité, durée, destinataires, droits, et modalités d’exercice des droits.
4) Sécurité et contrôle d’accès
Limitez l’accès aux données de localisation, journalisez les accès, sécurisez les clés API, et segmentez les environnements (dev / prod).
5) Sous-traitance et flux internationaux
Identifiez où vont les données, qui les traite, et sous quel cadre contractuel. C’est souvent le point de blocage lorsque les solutions sont hébergées hors UE.
Réduire le risque : “où sont traitées les données ?”
Un point central en contexte B2B est la maîtrise des flux : où transitent les coordonnées et les adresses, qui les stocke, et combien de temps. Une solution française et une architecture claire facilitent la conformité, les audits et la relation DPO / juridique.
Si votre objectif est de réduire la dépendance à des solutions extra-européennes, vous pouvez consulter : Alternative française à Google Maps API.
FAQ
La géolocalisation est-elle toujours une donnée personnelle ?
Elle peut le devenir selon le contexte. Si la position permet d’identifier une personne (directement ou indirectement), le RGPD s’applique.
Le reverse geocoding augmente-t-il le risque ?
Oui, car convertir des coordonnées en adresse peut rendre l’information plus identifiable (ex : domicile). Il faut cadrer la finalité, la conservation et les accès.
Peut-on géolocaliser des salariés ?
Cela peut être possible si c’est justifié, proportionné, encadré et transparent. Le suivi continu sans nécessité est un point de vigilance fréquent.
Quelle est la première action à faire côté entreprise ?
Documenter la finalité, réduire la précision si possible, définir une durée de conservation, et cadrer l’accès. Ensuite, vérifier la chaîne de sous-traitance et l’hébergement.