Destinataires des données.
La commission rappelle que le responsable d'un traitement de données à caractère personnel est tenu, en application de l'article 34 de la loi du 6 janvier 1978 modifiée, de prendre toutes les garanties utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données, notamment, empêcher que des tiers non autorisés y aient accès.
A ce titre, le responsable d'un traitement, avant de transmettre des données à un organisme, doit opérer un tri parmi ces dernières pour veiller à ce que le destinataire accède aux seules données adéquates, pertinentes et non excessives au regard de la justification de la communication.
Seuls les employés habilités du responsable de traitement, dans la limite de leurs attributions respectives, doivent pouvoir accéder aux données à caractère personnel traitées dans le cadre d'un dispositif de géolocalisation, en particulier les personnes en charge de coordonner, de planifier ou de suivre les interventions, les personnes en charge de la sécurité des biens transportés ou des personnes ou, le cas échéant, le responsable des ressources humaines.
Pour rendre compte à un client ou à donneur d'ordre sur l'état d'avancement d'une prestation, ou pour justifier de sa réalisation a posteriori, le responsable du traitement doit communiquer les seules données nécessaires au regard de cette finalité. L'identité du conducteur du véhicule, sauf à ce qu'elle présente un intérêt particulier dans ce cadre, ne doit pas être communiquée au tiers.
En toutes hypothèses, les données transmises par le responsable de traitement doivent uniquement être rendues accessibles aux personnes habilitées à en connaitre au regard de leurs attributions.