Tracking GPS des agents de sécurité et RGPD : déployer conforme sans sanction CNIL ni litige CNAPS

Vous le lisez un mardi de novembre, au premier café du bureau, dans une revue spécialisée que vous gardez depuis des semaines sans l’ouvrir. Titre : « La CNIL sanctionne une entreprise de sécurité privée de 120 000 € pour géolocalisation illicite des agents, pas d’AIPD, pas de consultation CSE, conservation indéfinie. » Vous le lisez deux fois. L’entreprise avait déployé un système GPS sur les véhicules de patrouille et les terminaux des agents, sans analyse d’impact relative à la protection des données, sans information conforme aux articles 12 et 13 du RGPD, sans consultation du CSE. La délibération fait quarante pages et cite chaque virgule du RGPD et du Code du Travail. Vous avez exactement le même problème depuis trois mois : vous voulez installer le tracking GPS sur les rondes de votre entreprise parce qu’un client grand compte l’a explicitement demandé dans le dernier appel d’offres, mais votre avocat conseil vous a dit « attention, en sécurité privée c’est plus délicat qu’ailleurs ». Vous posez la tasse. Vous ouvrez l’ordinateur. Vous commencez à chercher.

Le vrai problème, c’est que chaque article que vous trouvez est écrit par un cabinet d’avocats qui veut vous vendre un accompagnement, par un éditeur de logiciels qui veut vous vendre une plateforme, ou par un représentant syndical qui vous explique en vingt pages pourquoi vous ne pouvez tracker personne. Personne ne vous dit en français clair ce que vous devez réellement faire si vous dirigez une entreprise de sécurité privée autorisée par le CNAPS avec quarante agents et que vous voulez déployer un système GPS qui vous permette de gagner le marché public, de respecter le RGPD, de ne pas vous brouiller avec le CSE, de ne pas atterrir sur le bureau de la CNIL et, surtout, de ne pas subir la sanction de 120 000 € que vous venez de lire dans la revue. Vous avez l’impression de marcher sur un champ de mines sans carte. Et pourtant vos concurrents les mieux structurés le font déjà, manifestement de manière conforme, puisqu’ils gagnent les marchés grands comptes que vous ne pouvez même plus présenter.

C’est la situation d’une grande partie des dirigeants d’entreprises de sécurité privée en France aujourd’hui. Le secteur de la sécurité est l’un des plus surveillés par la CNIL parce qu’il touche des données particulièrement sensibles : vos agents opèrent dans des lieux et à des horaires qui, croisés avec la géolocalisation, racontent bien plus qu’une simple « présence au travail ». Ils racontent où habite un client VIP, quelle est la routine de transport de fonds d’une agence bancaire, où un cabinet d’avocats laisse une porte de service mal sécurisée à 23 h 00. Mal calibrer le dispositif RGPD n’est pas seulement un risque administratif. C’est un risque de réputation qui peut tuer une PME de la sécurité.

Pourquoi la sécurité privée est le secteur le plus sensible pour le GPS

Le nettoyage multi-sites, le BTP, la maintenance technique : autant de secteurs où le GPS sur les équipes terrain sert à savoir si la personne est arrivée, combien de temps elle est restée, où elle est allée ensuite. En sécurité privée, la situation est structurellement différente. L’agent de sécurité exerce une activité réglementée par le livre VI du Code de la Sécurité Intérieure, sous autorisation et carte professionnelle délivrées par le CNAPS – Conseil National des Activités Privées de Sécurité, souvent à l’interface des forces de l’ordre, avec des compétences quasi-régaliennes (intervention, transport de fonds, protection de personnes, surveillance armée). En même temps, l’agent est un salarié protégé par le RGPD, par l’article L.1121-1 du Code du Travail (proportionnalité de toute mesure de surveillance), et par la Convention Collective Nationale des Entreprises de Prévention et de Sécurité. La CNIL considère le tracking GPS du personnel de sécurité comme un traitement « à risque élevé » au sens de l’article 35 du RGPD, parce que la combinaison entre géolocalisation continue, travail de nuit et tournées prévisibles permet de profiler en détail la vie professionnelle et parfois la vie privée du salarié.

Cela ne signifie pas que vous ne pouvez pas tracker. Cela signifie que vous devez tracker de manière structurée. La jurisprudence de la CNIL des cinq dernières années est constante : les entreprises de sécurité qui ont déployé le GPS en respectant l’articulation entre RGPD, Code du Travail, Code de la Sécurité Intérieure et conventions collectives n’ont jamais été sanctionnées. Celles qui ont improvisé, système déployé du jour au lendemain, mention d’information générique copiée depuis un site internet, pas de consultation CSE, conservation indéfinie des données de localisation, ont toutes atterri sur le radar de la régulation, plusieurs avec des sanctions à six chiffres. La différence ne se joue pas sur la technologie. Elle se joue sur le processus administratif qui précède et accompagne le déploiement technique.

La seconde sensibilité, c’est le client final. Lorsqu’une patrouille enregistre son arrivée à 02 h 47 devant une agence bancaire, cette donnée de géolocalisation contient aussi une information sur le client, l’agence est sous protection armée, on y stocke des valeurs, voici un point faible. Si votre architecture GPS ne segrègue et ne protège pas ces données et qu’elles fuient lors d’une violation de données, le préjudice de réputation frappe votre entreprise deux fois : comme responsable du traitement pour les salariés et comme prestataire de sécurité pour le client. L’article 32 du RGPD exige des mesures techniques et organisationnelles « appropriées au risque ». En sécurité, « approprié » signifie plus qu’ailleurs.

Les cinq piliers d’un déploiement GPS conforme en sécurité privée française

Le premier pilier est l’AIPD – Analyse d’Impact relative à la Protection des Données. Pour le secteur de la sécurité elle est obligatoire, pas optionnelle, car le tracking GPS des salariés figure explicitement dans la liste publiée par la CNIL des traitements soumis à AIPD obligatoire. L’AIPD est un document de 15 à 30 pages qui décrit le traitement (ce que je collecte, pourquoi, comment), évalue les risques sur les droits et libertés des salariés, identifie les mesures d’atténuation et documente la consultation préalable du DPO interne et, si les risques résiduels restent élevés, de la CNIL elle-même avant la mise en production. Sans AIPD datée et signée avant l’activation du système, en cas de contrôle la conclusion est écrite et seule la quantification de l’amende reste ouverte.

Le second pilier est la consultation du CSE – Comité Social et Économique. En application de l’article L.2312-38 du Code du Travail, le CSE doit être informé et consulté préalablement à toute décision d’aménagement important modifiant les conditions de travail ou tout projet de mise en place de moyens de contrôle de l’activité des salariés. Le GPS sur les agents entre directement dans ce périmètre. Le PV de consultation doit figurer au dossier avec sa date, son ordre du jour mentionnant explicitement le projet de géolocalisation, et la position du CSE. Le défaut de consultation préalable rend le dispositif inopposable aux salariés et constitue un délit d’entrave passible de sanctions pénales pour le dirigeant, en plus du contentieux RGPD.

Le troisième pilier est la minimisation des données. Le RGPD vous interdit de collecter « tout ce que la technologie permet de collecter ». Vous collectez le strict nécessaire à la finalité déclarée. Pour la sécurité, cela signifie : pas de tracking continu 24 h / 24, mais des pings ponctuels aux événements pertinents (arrivée sur le site client, départ, intervention sur alarme, fin de ronde). Pas d’historique permanent : la position précise disparaît dès l’intervention clôturée, ne restent que les horodatages et les identifiants de site. Pas de tracking pendant les pauses conventionnelles, les trajets domicile-travail, les heures hors service. Un système qui géolocalise un agent en continu 24 heures sur 24 est automatiquement non conforme, même avec consultation CSE réalisée.

Le quatrième pilier est la durée de conservation. Combien de temps pouvez-vous conserver les logs GPS ? Le principe est « pas plus longtemps que strictement nécessaire ». Pour la preuve de prestation envers le client : trois à six mois, rarement plus, sauf contentieux en cours. Pour la sécurité du travailleur isolé : un à trois mois est déjà très généreux. Pour la prévention des fraudes assurantielles : jusqu’à douze mois si documenté et proportionné. Au-delà de ces limites, les données doivent être anonymisées ou supprimées automatiquement et de manière vérifiable, pas stockées « au cas où » dans la base. La conservation indéfinie des logs GPS est l’un des manquements les plus sanctionnés.

Le cinquième pilier est la transparence envers les salariés au sens des articles 12 et 13 du RGPD. Une notice d’information dédiée au traitement GPS, pas un paragraphe enfoui en bas d’un document RH générique, mais un document autonome que l’agent contre-signe à son intégration dans le dispositif GPS, mentionnant explicitement les données collectées, les finalités, la base légale (intérêt légitime au titre de l’article 6.1.f, exécution du contrat au titre de l’article 6.1.b, obligation légale de sécurité au titre de l’article L.4121-1 du Code du Travail), la durée de conservation, les droits des personnes y compris accès et effacement, et les coordonnées du DPO. Formation initiale et annuelle des équipes. Icône d’application visible indiquant quand le tracking est actif et quand il est en pause, afin que l’agent connaisse toujours l’état de son terminal. La surveillance au sens du RGPD ne peut pas être une surprise : elle doit être informée.

Le rôle de la CNIL : ce qu’un contrôle examine réellement

Lorsque la CNIL ouvre un contrôle sur une entreprise de sécurité privée, souvent à la suite d’une plainte d’un agent ou du CSE, elle demande trois pièces dans les deux premières heures : l’AIPD datée et signée avant l’activation du système, le PV de consultation du CSE, et la notice d’information contresignée par les salariés. Si ces trois documents manquent, la conclusion est écrite et seule la quantification de la sanction reste à débattre. S’ils existent mais sont défectueux – AIPD générique copiée d’un autre secteur, PV de CSE antérieur à l’introduction du GPS, notice qui ne mentionne pas la géolocalisation, l’issue est marginalement meilleure mais une amende suit malgré tout.

Les sanctions de la CNIL en matière de géolocalisation salariée sur les trois dernières années oscillent entre 20 000 et 200 000 € pour les PME, jusqu’à 1,5 M€ pour des groupes plus grands, en sus de l’injonction de suspendre le traitement et de supprimer les données collectées illégalement. S’y ajoutent les actions civiles individuelles des salariés pour réparation du préjudice moral au titre de l’article 82 du RGPD, le risque de licenciements jugés sans cause réelle et sérieuse lorsque la preuve a été obtenue en violation du RGPD, et, non négligeable, l’exclusion automatique des appels d’offres publics qui exigent une attestation de conformité RGPD et un registre des traitements à jour.

---

L’avenir si vous renoncez au tracking par peur

Vous restez à l’arrêt. Les clients grands comptes qui exigent un GPS vérifiable dans le cahier des charges, banques, groupes industriels, hôpitaux, collectivités, vous les gagnez de moins en moins. Le PC sécurité fonctionne avec des appels radio et des mains courantes papier, et chaque litige sur les horaires d’arrivée ou la durée des rondes devient un long coup de fil dans lequel vous reconstruisez a posteriori qui était où. La sécurité de vos agents isolés en cas d’urgence, agent à terre, agression armée, malaise en ronde nocturne, dépend de leur capacité à passer un appel radio, parce que personne ne sait en temps réel où ils se trouvent. Vos primes de RC professionnelle augmentent parce que vous ne pouvez pas documenter une prestation « tracée et certifiée ». Et pendant ce temps, les concurrents mieux structurés, qui ont fait l’AIPD il y a trois ans et ont mis à jour leur consultation CSE le trimestre dernier, gagnent vos contrats un à un.

L’avenir si vous déployez conforme

Vous gagnez l’appel d’offres de la banque régionale parce que votre offre inclut « géolocalisation conforme RGPD avec reporting client en temps réel ». L’AIPD que vous avez produite avec votre DPO il y a deux ans est un atout commercial que vous joignez aux offres et que vos concurrents n’ont pas. Vos agents sont plus sûrs parce qu’en cas d’urgence le PC sécurité sait exactement où ils sont, peut envoyer des renforts ciblés, peut appeler le 17 avec des coordonnées précises, et cette finalité de sécurité est mentionnée explicitement dans l’AIPD comme intérêt légitime prépondérant, ce qui renforce d’autant la base légale au titre de l’article 6.1.f. Les renouvellements de contrats avec les clients existants deviennent plus sereins parce que chaque intervention est documentée en temps réel par PDF certifié, GPS, photos. La CNIL, si elle se présentait un jour à la suite d’une plainte, trouve trois dossiers en ordre – AIPD, PV CSE, notices d’information, et clôt le contrôle avec un résultat favorable. L’assureur RC professionnelle baisse la prime au premier renouvellement dès que vous démontrez un tracking digital structuré. Et sur les marchés publics, où la déclaration de conformité RGPD est un critère de recevabilité, vous cessez d’être automatiquement exclu avant même la notation technique.

Ce qu’il vous faut réellement pour y arriver

Il vous faut un système conçu dès l’origine selon les principes de privacy by design et by default de l’article 25 du RGPD, pas une plateforme générique adaptée a posteriori au secteur de la sécurité, mais un outil dans lequel la minimisation des données, la durée de conservation configurable par finalité, la désactivation automatique hors service et la ségrégation des données client-agent sont des options natives et non des fonctions à ajouter ultérieurement. Il vous faut un fournisseur qui vous soutienne avec des modèles d’AIPD spécifiques à la sécurité privée française, des canevas de notice d’information déjà alignés sur les positions de la CNIL, et la documentation technique que votre DPO peut joindre au registre des traitements sans rien réécrire.

GeoTapp a été construit exactement ainsi, en travaillant avec des entreprises de sécurité privée françaises devant concilier des exigences grands comptes de plus en plus strictes en matière de tracking et de preuve de prestation avec l’articulation entre RGPD, Code du Travail, Code de la Sécurité Intérieure, autorisations CNAPS et CCN Prévention et Sécurité. Pings ponctuels aux événements pertinents au lieu d’un tracking continu, durée de conservation configurable par finalité, modèles d’AIPD et de notice d’information prêts à adapter, logs immuables exportables en PDF brandé pour le client, ségrégation des données par site et par rôle. Voyez comment ça marche et demandez-vous si, la prochaine fois que vous lirez un article sur une sanction CNIL contre une entreprise de sécurité, vous pourrez sourire au lieu d’avoir des sueurs froides.

Et vous ? Où en êtes-vous dans le déploiement du tracking GPS dans votre entreprise : AIPD et consultation CSE déjà réalisées, à mi-chemin du parcours, ou encore en train de reporter par peur de mal faire ? Dites-le en commentaires, confronter son expérience avec celle de confrères passés par le même labyrinthe réglementaire est le moyen le plus rapide d’éviter les erreurs les plus coûteuses.

Imaginez la prochaine question du DPO : base légale, durée, registre, contrat de sous-traitance, tout est déjà prêt.