Communiqué LDH et INV
C’est une double première en France : la Ligue des droits de l’Homme (LDH) a décidé de lancer, pour le compte d’un collectif de chauffeurs émanant notamment du syndicat INV et avec le concours du cabinet d’avocats Metalaw, la première action de groupe de son histoire en matière de protection de données à caractère personnel et la première action de groupe contre Uber en France. La Commission nationale informatique et libertés (Cnil) est saisie.
En France, la loi prévoit que les actions de groupe ne peuvent être lancées que dans un certain nombre de matières : l’environnement, la santé, la lutte contre les discriminations. C’est aussi le cas en matière de protection des données personnelles.
Constatant plusieurs manquements graves et répétés de l’entreprise Uber dans l’application du Règlement général de protection des données (RGPD) et de la loi Informatique et Libertés, la LDH a décidé de saisir la Cnil au nom d’un collectif de chauffeurs et avec l’appui du cabinet d’avocats Metalaw.
Pour mémoire : le RGPD, adopté au niveau européen, s’applique directement en droit français depuis 2018. Il est complété par la loi Informatique et Libertés.
La Cnil est l’autorité administrative indépendante chargée de faire respecter la protection des données personnelles.
Le RGPD prévoit notamment que la transmission des données personnelles doit se faire de « façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples. »
En réalité, pour les chauffeurs Uber, la demande consistant à avoir accès à leurs données personnelles s’apparente plutôt à un parcours du combattant, labyrinthique et volontairement dissuasif.
En voici quelques étapes :
- Pour un chauffeur Uber, la simple demande d’accès aux données est déjà kafkaïenne
Le RGPD prévoit que pour accéder à ses données personnelles, il suffit d’écrire au délégué à la protection des données de l’entreprise (DPO) et que le processus de demande doit être simple et accessible.
Chez Uber, c’est tout le contraire.
Quand on écrit à l’adresse électronique du DPO indiquée sur le site, la réponse est la suivante : « cette adresse électronique ne permet pas de contacter directement le DPO » !
Il faut donc relancer une recherche dans le site afin d’obtenir le formulaire de demande à remplir. On accède à une page d’abord en français, puis en anglais, bref on tourne en rond.
Ce n’est qu’en passant par un processus détourné, spécifique aux personnes n’ayant pas de compte Uber, que les chauffeurs Uber peuvent espérer accéder à un formulaire de demande.
La suite n’est pas plus simple.
- Quand on a réussi à remplir le formulaire d’accès à ses données, mieux vaut être patient
Le RGPD prévoit que le délai de réponse à une demande d’accès aux données personnelles ne doit pas excéder trente jours.
Chez Uber, ces délais de réponse sont, comment dire… variables.
Nous avons constaté que certains chauffeurs avaient obtenu leurs données dans le délai de trente jours, alors que d’autres ne les ont reçues qu’au bout de soixante jours, sous couvert du contexte de pandémie qui, rappelons-le, n’est pas un motif légal de retard.
Certains n’ont même pas reçu de réponse du tout !
- Quand on a la chance d’avoir une réponse, les fichiers sont manifestement illisibles et incomplets
Le RGPD prévoit que les fichiers regroupant les données personnelles doivent être facilement lisibles par le demandeur.
Chez Uber, les données sont inintelligibles pour une personne qui ne possède pas de compétence poussée en informatique et, qui plus est, en anglais.
Certaines réponses sont manifestement faites pour empêcher le demandeur d’accéder à ses données. Un exemple : un chauffeur a reçu l’intégralité de ses données personnelles sous forme de seize fichiers Excel, en anglais.
Plus étonnant encore : la communication de certaines données est purement et simplement refusée sous prétexte qu’elle nécessiterait des moyens trop importants. On peut s’étonner d’une telle réaction compte tenu de la compétence technologique de l’entreprise Uber.
Par ailleurs, certaines réponses excluent purement et simplement un certain nombre de données. Exemple : les données de géolocalisation ne remontent pas à plus de trente jours excluant de fait le chauffeur de l’accès à ses données, alors même qu’Uber déclare dans sa déclaration de confidentialité collecter et conserver les données des chauffeurs tant que le compte Uber est actif. L’entreprise américaine a un double discours.
Enfin, Uber inclut une clause limitative de responsabilité en matière de sécurité des données dans ses conditions générales, ce qui est parfaitement contraire au droit français et européen.
Cette clause permet à Uber de se dédouaner d’éventuels pertes ou vols de données et de laisser ainsi aux chauffeurs la gestion de la sécurité de données à laquelle il n’a même pas accès. Le serpent se mord la queue.
Ces manquements constatés au RGPD ne sont pas anodins et ils peuvent avoir des conséquences importantes sur le statut des chauffeurs Uber.
On peut s’interroger sur le choix qui est fait par Uber de transmettre ou non certaines données dans le contexte actuel de demandes de requalification en contrat salarié.
C’est un enjeu majeur de cette action de groupe qui doit permettre aux chauffeurs d’accéder à l’ensemble de leurs données économiques largement identifiantes. Pour chacun des manquements, des constats d’huissiers ont bien évidemment été effectués et seront communiqués à la Cnil dans le cadre de cette action de groupe.
Une plainte devant la Cnil a donc été déposée vendredi 12 juin 2020, à charge pour l’autorité administrative indépendante de procéder à l’instruction de celle-ci et d’interroger les responsables de traitement des données d’Uber France et d’Uber Monde.
Il est d’ailleurs à noter que les deux entités responsables de traitement des données d’Uber ne se trouvent même pas sur le territoire national et sont basées aux Pays-Bas et aux Etats-Unis.
Pour rappel, en cas de manquements constatés au RGPD, la Cnil peut notamment enjoindre l’entreprise à se mettre en conformité et à satisfaire les demandes de la personne concernée et prononcer une amende administrative pouvant aller jusqu’à 4 % du chiffre d’affaires annuel mondial.
Paris, le 16 juin 2020