La CNIL a sanctionné en 2024 une société de sécurité privée à hauteur de 50 000 € pour géolocalisation continue d'agents en dehors des heures de service et utilisation de données biométriques sans base légale claire. La société croyait être en règle parce qu'elle avait un logiciel «conforme RGPD» et un avenant au contrat de travail mentionnant la géolocalisation. Ni l'un ni l'autre ne suffisaient.
Cette checklist 2026 permet à une direction d'opérations de sécurité privée et à un agent terrain de vérifier en moins de 30 minutes si l'utilisation actuelle du logiciel de rondes respecte le RGPD.
Bloc 1 — Base légale du traitement (3 points)
1.1. La géolocalisation des agents est-elle explicitement mentionnée dans le contrat de travail ou avenant signé ?
Réponse correcte : oui, avec la finalité précise («contrôle de l'exécution effective de la mission de surveillance»), la base légale invoquée (intérêt légitime de l'employeur ou exécution du contrat), et la durée du traitement.
Si la mention est vague («pour des raisons de sécurité») ou absente, la base légale est fragile et toute donnée traitée est exposée à plainte CNIL.
1.2. Le CSE (Comité Social et Économique) a-t-il été consulté avant la mise en place du logiciel de rondes avec géolocalisation ?
L'article L2312-38 du Code du travail impose la consultation préalable du CSE pour tout dispositif de contrôle de l'activité des salariés. La sanction CNIL 2024 s'appuyait notamment sur l'absence de cette consultation.
Réponse correcte : oui, procès-verbal du CSE archivé avec la date, l'ordre du jour mentionnant le logiciel, et l'avis émis (favorable, défavorable, réservé). Pour les entreprises de moins de 50 salariés sans CSE, information écrite individuelle de chaque agent suffit.
1.3. La DPIA (Data Protection Impact Assessment, ou AIPD) a-t-elle été réalisée ?
La géolocalisation continue d'agents figure dans la liste CNIL des traitements pour lesquels une AIPD est obligatoire. L'AIPD documente le risque pour les droits des personnes et les mesures de mitigation.
Réponse correcte : AIPD réalisée par le DPO de la société, datée, signée, conservée pour présentation en cas de contrôle CNIL. Si l'entreprise n'a pas de DPO interne, externaliser à un cabinet RGPD spécialisé.
Bloc 2 — Périmètre temporel et spatial du traitement (3 points)
2.1. La géolocalisation s'active-t-elle uniquement pendant les horaires planifiés de l'agent ?
Réponse correcte : oui, le logiciel ne capture aucune donnée de position en dehors des plages horaires saisies dans le planning. Si l'agent ouvre l'application sur son temps libre (par erreur), aucune donnée n'est enregistrée.
C'est le piège technique le plus fréquent : l'application reste en arrière-plan et continue à émettre. La configuration correcte exige une logique serveur qui ignore les positions hors horaires.
2.2. La géolocalisation se limite-t-elle au périmètre de l'établissement surveillé ?
Réponse correcte : oui, geofencing autour de chaque site avec rayon défini (typiquement 100-500m selon site). Les déplacements de l'agent en dehors de ce périmètre (course personnelle pendant la pause, par exemple) ne sont pas traçables.
2.3. La durée de conservation des données de géolocalisation est-elle limitée et documentée ?
Réponse correcte : oui, durée maximale fixée selon finalité. Recommandation CNIL pour géolocalisation en sécurité privée : 2 mois maximum pour les positions ponctuelles ; 6 mois pour les rondes complètes en cas de besoin d'audit. Au-delà, archivage agrégé anonymisé ou suppression.
Bloc 3 — Droits des agents (4 points)
3.1. L'agent peut-il accéder à ses propres données de géolocalisation sur demande ?
Réponse correcte : oui, droit d'accès (article 15 RGPD) opérationnel. L'agent peut demander un export de ses positions des 30 derniers jours et l'obtenir en moins de 30 jours.
3.2. L'agent peut-il demander la suppression de données injustifiées ?
Réponse correcte : oui, droit à l'effacement (article 17 RGPD) opérationnel pour les données qui ne sont plus nécessaires à la finalité ou qui ont été traitées illicitement.
Cas typique : un agent finit son contrat, demande la suppression de ses données de géolocalisation 30 jours après son départ. L'employeur doit s'exécuter sauf obligation légale de conservation (litige en cours, demande d'autorité).
3.3. L'agent a-t-il été informé par écrit de ses droits, du destinataire des données, et du DPO ?
Réponse correcte : oui, mention obligatoire dans le contrat de travail ou avenant, avec coordonnées DPO et procédure d'exercice des droits.
3.4. Existe-t-il un canal documenté pour l'agent qui veut exercer ses droits ?
Réponse correcte : oui, email dédié (rgpd@société.fr ou équivalent), traçabilité des demandes, délai maximum de réponse de 30 jours.
Bloc 4 — Sécurité technique (3 points)
4.1. Les données de géolocalisation sont-elles chiffrées au repos et en transit ?
Réponse correcte : oui, TLS 1.2+ pour les transmissions, AES-256 pour le stockage côté serveur.
4.2. L'accès aux données est-il limité aux personnes ayant besoin d'en connaître ?
Réponse correcte : oui, contrôle d'accès par rôle (RBAC). Les superviseurs voient leur équipe, les administrateurs voient tout, le commercial ne voit rien.
4.3. Le logiciel de rondes est-il hébergé chez un fournisseur qui présente des garanties RGPD adéquates ?
Réponse correcte : oui, hébergement dans l'UE, contrat sous-traitant signé conformément à l'article 28 RGPD, certification ISO 27001 ou équivalent du fournisseur. Pour le secteur santé (EHPAD, cliniques), hébergement HDS obligatoire si données de santé concernées.
Bloc 5 — Documentation et traçabilité (2 points)
5.1. Le registre des traitements RGPD inclut-il une fiche détaillée du logiciel de rondes ?
Réponse correcte : oui, fiche dans le registre (article 30 RGPD) avec finalités, catégories de données, durées, destinataires, transferts hors UE le cas échéant.
5.2. Une procédure de notification de violation est-elle en place ?
Réponse correcte : oui, procédure documentée pour notifier la CNIL en moins de 72h en cas de fuite de données, et informer les agents si le risque pour leurs droits est élevé.
Score de conformité
15 questions au total. Compter «1» par réponse correcte vérifiable par document écrit.
- 13-15 / 15 : conformité solide. Documentation prête pour contrôle CNIL.
- 10-12 / 15 : conformité fragile. Plan d'action sous 90 jours sur les points manquants.
- < 10 / 15 : non-conformité majeure. Risque de sanction CNIL si contrôle. Geler le déploiement de nouvelles fonctionnalités jusqu'à mise en conformité.
L'erreur la plus fréquente en 2026
Continuer à utiliser un logiciel acheté en 2018-2020 sans réviser sa conformité aux mises à jour CNIL postérieures. La doctrine CNIL sur la géolocalisation de salariés s'est durcie sensiblement en 2023-2024. Un logiciel qui était «conforme à l'époque» peut ne plus l'être aujourd'hui.
Action concrète : demander cette semaine au fournisseur du logiciel sa fiche de conformité RGPD datée de 2024 ou 2025. Si la fiche date d'avant ou n'existe pas, c'est un signal fort à corriger.
La conformité RGPD du logiciel de rondes n'est pas un sujet juridique abstrait : c'est un risque opérationnel et financier concret. La sanction de 50 000 € de 2024 a été payée par une société qui faisait de bonne foi des erreurs documentaires et techniques que cette checklist permet de prévenir.