Votre camionnette collecte des données GPS toutes les 30 secondes. Votre système télématique enregistre les freinages brusques, les excès de vitesse, le temps passé au volant. Votre application de gestion de flotte connaît les habitudes de conduite de chacun de vos employés. Est-ce légal ? Sous quelles conditions ? Que risquez-vous si vous ne respectez pas les règles ? En 2026, avec l’entrée en scène des nouvelles recommandations CNIL sur les véhicules connectés, la question n’est plus théorique.
Le contexte réglementaire : ce qui a changé en 2025-2026
La CNIL a lancé en 2025 son « Club Conformité Véhicules Connectés », un programme de travail dédié aux acteurs de la mobilité connectée. Ce programme a abouti à des recommandations précises publiées en début 2026, qui s’appliquent directement aux employeurs gérant des flottes équipées de télématique.
Parallèlement, le Data Act européen est entré en vigueur progressivement depuis 2024. Il impose aux fournisseurs de véhicules connectés d’assurer la portabilité des données générées — ce qui signifie que vos conducteurs et votre entreprise ont de nouveaux droits sur les données collectées par les constructeurs et les équipementiers.
Résultat : le paysage réglementaire des données de flotte est désormais plus complexe, mais aussi plus clair sur les obligations. Voici ce que tout gestionnaire de flotte doit savoir.
Quelles données sont concernées par le RGPD dans une flotte ?
Sandra Lefort, DRH d’une entreprise de BTP à Clermont-Ferrand (42 salariés, 28 véhicules), a découvert lors d’un audit RH en 2025 que son système de télématique collectait bien plus de données qu’elle ne le pensait. « On pensait juste tracer les kilomètres pour les notes de frais. En réalité, le logiciel enregistrait aussi les pauses, les arrêts non programmés, les écarts de vitesse à 200 m près. »
Les données de flotte qui entrent dans le champ du RGPD incluent :
- Données de localisation : GPS en temps réel, historique des trajets, adresses visitées
- Données de conduite comportementales : freinages brusques, accélérations, vitesse, consommation
- Données de temps de travail : heures de démarrage/arrêt, durées de trajet, temps d’inactivité
- Données biométriques (systèmes avancés) : fatigue détectée par caméra, distraction au volant
- Données de communication : appels passés via système embarqué, messages dictés
Toutes ces données sont des données à caractère personnel dès lors qu’elles peuvent être rattachées à un conducteur identifié ou identifiable. Le RGPD s’applique donc pleinement.
Les 5 obligations fondamentales de l’employeur
1. Définir une base légale pour chaque traitement
En matière de télématique de flotte, l’employeur dispose de plusieurs bases légales possibles :
- Intérêt légitime : sécurité des conducteurs, prévention des accidents, conformité réglementaire (tachygraphe), gestion des déplacements professionnels
- Exécution du contrat : pour les données strictement nécessaires à la réalisation du travail
- Obligation légale : tachygraphe numérique obligatoire pour les PL, gestion des durées de conduite
Attention : le consentement n’est pas une base légale adaptée dans un contexte employeur/salarié, car le RGPD exige que le consentement soit libre — ce qui est difficile à garantir dans une relation de travail.
2. Informer les conducteurs de manière transparente
L’information doit être :
- Fournie avant le démarrage de la collecte, pas après coup
- Accessible facilement (pas enterrée dans un règlement intérieur de 40 pages)
- Précise sur les données collectées, leur durée de conservation, les destinataires, les droits des conducteurs
La CNIL recommande en 2026 une double information : dans le contrat de travail ET via un affichage visible dans le véhicule (ou une notification dans l’application conducteur).
3. Respecter le principe de minimisation des données
Vous ne pouvez collecter que les données strictement nécessaires à la finalité déclarée. Si vous déclarez utiliser la télématique pour optimiser les tournées, vous ne pouvez pas simultanément surveiller les pauses cigarette à 200 m près.
Concrètement, cela signifie :
- Désactiver le géotracking en dehors des heures de travail (obligatoire sauf autorisation expresse)
- Ne pas conserver les données de localisation au-delà de la durée nécessaire (la CNIL recommande 2 mois maximum pour les données de trajet individuelles)
- Éviter le tracking permanent en temps réel si une consultation différée suffit aux finalités déclarées
4. Consulter le Comité Social et Économique (CSE)
Tout système de contrôle de l’activité des salariés doit faire l’objet d’une consultation préalable du CSE (article L2312-38 du Code du travail). Cette obligation est indépendante du RGPD — c’est du droit du travail pur.
Erreur fréquente : plusieurs entreprises déploient un nouveau système télématique sans consulter le CSE, puis se retrouvent face à des actions syndicales ou des procédures aux prud’hommes. En 2025, les arrêts de la Cour de cassation ont confirmé que les données obtenues sans consultation du CSE sont irrecevables en justice pour prouver une faute du salarié.
5. Mettre à jour le Registre des Activités de Traitement (RAT)
Chaque traitement de données doit être documenté dans le registre RGPD de l’entreprise. Pour la télématique de flotte, créez une fiche dédiée incluant :
- Finalité du traitement (ex : « optimisation des tournées et sécurité routière »)
- Catégories de données collectées
- Durées de conservation par type de donnée
- Sous-traitants impliqués (fournisseur télématique, hébergeur cloud)
- Mesures de sécurité mises en place
Cas concret : ce que risque une entreprise non conforme
Exemple réel (anonymisé) : En 2025, une société de transport régional de 65 salariés a été condamnée par les prud’hommes à verser 18 500 € à un conducteur licencié, notamment parce que les données télématiques utilisées pour justifier le licenciement avaient été collectées sans information préalable du salarié, ni consultation du CSE.
Les sanctions RGPD se cumulent avec les sanctions prud’homales. La CNIL peut infliger :
- Amendes administratives : jusqu’à 20 millions d’euros ou 4% du CA mondial annuel
- Mise en demeure de cesser un traitement illicite (paralysie possible de votre système télématique)
- Publication de la sanction (atteinte à la réputation)
En pratique, pour les PME, les sanctions CNIL oscillent entre 5 000 et 150 000 € selon la gravité et la taille de l’entreprise.
Les droits des conducteurs que vous devez respecter
Chaque conducteur dispose de droits que votre entreprise doit être capable d’honorer dans un délai d’un mois :
- Droit d’accès : obtenir copie de toutes les données le concernant
- Droit de rectification : corriger des données inexactes
- Droit à l’effacement : sous conditions (données conservées au-delà de la durée nécessaire)
- Droit d’opposition : s’opposer à un traitement fondé sur l’intérêt légitime, si motifs légitimes prépondérants
- Droit à la portabilité : récupérer ses données dans un format structuré (renforcé par le Data Act)
Comment se mettre en conformité : le plan d’action en 6 étapes
- Inventorier les données collectées par votre système télématique actuel — demandez la liste exhaustive à votre fournisseur.
- Définir les finalités légitimes de chaque type de donnée et supprimer les collectes non justifiées.
- Rédiger ou mettre à jour l’information conducteur (notice RGPD spécifique flotte), à intégrer dans les contrats de travail et afficher dans les véhicules.
- Consulter le CSE avant tout déploiement ou modification du système de suivi.
- Paramétrer les durées de conservation dans votre logiciel de gestion de flotte (suppression automatique des données individuelles après X jours).
- Mettre à jour le RAT avec une fiche dédiée à la télématique de flotte, signée du DPO ou du responsable RGPD.
Choisir un fournisseur télématique conforme RGPD
Votre fournisseur de télématique est un sous-traitant au sens du RGPD. Vous devez donc signer avec lui un Data Processing Agreement (DPA) précisant ses obligations en matière de protection des données.
Points à vérifier impérativement :
- Hébergement des données en Europe (ou garanties adéquates pour les transferts hors UE)
- Engagement de non-utilisation des données pour ses propres besoins commerciaux
- Certifications de sécurité (ISO 27001 idéalement)
- Capacité à répondre aux demandes d’exercice de droits sous 1 mois
- Notification des violations de données sous 72h (obligation légale)
En 2026, les principaux acteurs du marché (Webfleet, Samsara, Geotab, Mapon) ont tous signé des DPA conformes RGPD. Vérifiez néanmoins la localisation réelle des serveurs — certains hébergeurs américains restent sous le cloud PATRIOT Act américain malgré des clauses contractuelles européennes.
Le cas particulier du véhicule utilisé à titre mixte (pro + perso)
De nombreuses entreprises autorisent l’utilisation des véhicules de fonction à titre privé. Ce cas crée une obligation impérative : le suivi GPS doit être désactivable par le conducteur hors des heures de travail.
La CNIL est très claire sur ce point depuis 2015, et ses recommandations de 2026 le réaffirment : un employeur ne peut pas tracer en continu un véhicule utilisé à titre mixte. Le conducteur doit disposer d’un moyen simple (bouton physique ou application) pour désactiver le tracking durant ses temps personnels.
Manquement constaté : dans une étude menée en 2025 par le cabinet Lexing, 38% des systèmes télématiques déployés en France ne proposent pas cette fonctionnalité ou ne l’activent pas par défaut. Un risque juridique et humain considérable.
Conformité RGPD flotte : un investissement, pas une contrainte
Les entreprises qui abordent la conformité RGPD comme une contrainte bureaucratique passent à côté de l’essentiel : un programme de gestion de flotte transparent, bien expliqué aux conducteurs, améliore l’adhésion, réduit les résistances et renforce la confiance.
Résultat mesurable : selon une étude ALD Automotive 2025, les entreprises ayant co-construit leur charte télématique avec leurs conducteurs (plutôt que de l’imposer) observent une adoption 2,3 fois plus rapide des recommandations de conduite et une réduction 40% plus importante de la sinistralité dans les 12 premiers mois.
La conformité RGPD n’est pas une fin en soi — c’est le fondement d’une relation de confiance entre l’entreprise et ses conducteurs, qui conditionne le succès de toute votre politique de gestion de flotte.