Uber attaqué devant la CNIL par la Ligue des droits de l’homme

Vendredi 12 juin, une plainte a été déposée devant la Commission nationale informatique et liberté (CNIL) par la Ligue des droits de l’homme (LDH) contre Uber pour manquement au RGPD et à la Loi informatique et liberté

La plainte s’appuie sur une vingtaine de chauffeurs qui éprouvent des difficultés à exercer leur droit d’accès concernant leurs données personnelles

Or toute personne physique qui en fait la demande, a le droit d’obtenir la copie de ses données faisant l’objet d’un traitement

Le droit d’accès existait déjà dans la loi Informatique et liberté (article 39), il est consacré à l’article 15 du RGPD qui l’a renforcé :

« La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées »

Quelles sont les données que le responsable de traitement doit communiquer ?

• La confirmation du traitement,
• Les finalités du traitement,
• Les catégories de données collectées,
• Les destinataires auxquelles les données sont communiquées,
• La durée de conservation ou les critères qui déterminent cette durée,
• L’existence des autres droits (droit de rectification, droit d’effacement, droit de limitation, droit d’opposition)
• La possibilité de saisir la CNIL
• La source des données lorsqu’elles n’ont pas été collectées auprès de la personne concernée,
• Les informations concernant un profilage éventuel,
• Les garanties prises en cas de transfert des données hors du périmètre de l’UE

Ces informations permettent à la personne concernée d’accéder au contenu de ses données et d’avoir une vision globale et précise de la logique dans laquelle est effectuée le traitement

Quel est l’objectif du droit d’accès ?

L’objectif est double : permettre à la personne concernée de disposer de ses données personnelles (retrouver la maîtrise de ses données) et d’avoir une connaissance la plus exacte possible du traitement réalisé avec ses données

C’est un droit de contrôle a posteriori sur la mise en œuvre du traitement

Quel est l’avantage du droit d’accès ?

Le responsable de traitement, Uber en l’espèce, est légalement tenu de transmettre ces informations. Il ne peut donc pas invoquer une clause de confidentialité par exemple, celle-ci n’est pas opposable au demandeur

De plus, le refus de communiquer les données est sanctionné

Quel est l’enjeu avec Uber ?

Cette plainte de la LDH fait suite à des demandes répétées d’accès à leurs données de la part de plusieurs chauffeurs et depuis plusieurs mois …

Plusieurs obstacles sont pointés dans la plainte pourtant effectuée directement auprès du délégué à la protection des données des sociétés Uber

La plupart des chauffeurs n’ont obtenu aucune réponse, pour les autres : les données transmises sont inexploitables et inintelligibles

Or l’exercice du droit d’accès doit permettre à la personne concernée d’obtenir la communication de ses données personnelles traitées dans un format compréhensible !

Quelles sont les suites possibles ?

Le droit d’accès permet de protéger la vie privée de la personne concernée mais aussi ses droits économiques et sociaux

En l’espèce avec Uber, ces données pourraient permettre de prouver le lien de subordination entre la plateforme et ses chauffeurs, actuellement travailleur sous le statut d’indépendants et ainsi, faire requalifier le contrat en contrat de travail ….

D’autant plus que la Cour de cassation a déjà franchi ce cap en requalifiant pour la première fois un contrat entre un chauffeur et la plateforme Uber en contre de travail en mars 2020

Enfin, en 2019, les plaintes devant la CNIL ont fait un nouveau bond de 27%. Parmi les thèmes récurrents, on trouve la surveillance des employés sur leur lieu ou pendant leur temps de travail (vidéosurveillance, géolocalisation, écoutes téléphoniques, données de connexion etc)

D’autres plaintes doivent venir s’ajouter à celle-ci mais cette fois déposée devant le tribunal judiciaire …