RGPD : la Ligue des droits de l’Homme complète sa plainte contre Uber auprès de la Cnil

La Ligue des Droits de l’Homme revient devant la Cnil pour se plaindre une nouvelle fois d’Uber. Mardi, la Ligue des droits de l’Homme (LDH) a déposé une plainte supplétive devant la Cnil. Cette plainte complète celle déposée le 12 juin dernier, relate Le Figaro à partir d’une information de l’AFP.

Une action de groupe pour des chauffeurs Uber

La LDH est mandatée par 99 chauffeurs travaillant pour Uber. Elle déclare avoir relevé de nouveaux manquements lors de la publication par Uber de conditions supplémentaires à l’annexe chauffeurs, le 12 juillet 2020. La première plainte déposée devant la Cnil en juin dernier cible le droit d’accès des chauffeurs à leurs données. La deuxième plainte considère qu’Uber refuse désormais aux chauffeurs le droit d’accès à leurs données lorsqu’ils ne travaillent plus pour la plateforme. La plainte vise également le fait que les chauffeurs ne peuvent pas s’opposer à la cession commerciale de leurs données.

En juin 2020, la LDH déclarait que Uber ne respecte pas le RGPD à l’occasion d’une action de groupe devant la Cnil menée pour le compte d’un collectif de chauffeurs émanant notamment du syndicat INV et avec le concours du cabinet d’avocats Metalaw. Le descriptif publié par la LDH montre la réalité du parcours pour obtenir des données personnelles sur la plateforme d’Uber. On observe un mélange de lourdeur administrative, d’absence totale de fluidité et de clarté, et de sérieuses zones d’ombre.

La LDH souligne que le RGPD prévoit que la transmission des données personnelles doit se faire de « façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples. » Elle déclare qu’en réalité pour les chauffeurs Uber, la demande consistant à avoir accès à leurs données personnelles « s’apparente plutôt à un parcours du combattant, labyrinthique et volontairement dissuasif. »

Un parcours complexe pour accéder à des données personnelles

La LDH décrit un parcours complexe pour qu’un chauffeur Uber puisse déposer la demande d’accès aux données. « Le RGPD prévoit que pour accéder à ses données personnelles, il suffit d’écrire au délégué à la protection des données de l’entreprise (DPO) et que le processus de demande doit être simple et accessible. Chez Uber, quand on écrit à l’adresse électronique du DPO indiquée sur le site, la réponse est la suivante : ‘cette adresse électronique ne permet pas de contacter directement le DPO’ » écrit la LDH.

Il faut effectuer une recherche dans le site Web afin d’obtenir le formulaire de demande à remplir. « On accède à une page d’abord en français, puis en anglais, bref on tourne en rond. Ce n’est qu’en passant par un processus détourné, spécifique aux personnes n’ayant pas de compte Uber, que les chauffeurs Uber peuvent espérer accéder à un formulaire de demande » poursuit la LDH. Une fois le formulaire d’accès à ses données rempli, il faut s’armer de patience. « Le RGPD prévoit que le délai de réponse à une demande d’accès aux données personnelles ne doit pas excéder 30 jours. Chez Uber, ces délais de réponse sont, comment dire… variables » écrit la LDH.

La LDH cite certains chauffeurs qui ont obtenu leurs données dans le délai de trente jours, alors que d’autres ne les ont reçues qu’au bout de soixante jours, « sous couvert du contexte de pandémie qui, rappelons-le, n’est pas un motif légal de retard » pointe la LDH. Certains n’ont pas reçu de réponse du tout, affirme la LDH. La LDH poursuit en rappelant que Le RGPD prévoit que les fichiers regroupant les données personnelles doivent être facilement lisibles par le demandeur.

Des fichiers informatiques en anglais

« Quand on a la chance d’avoir une réponse, les fichiers sont manifestement illisibles et incomplets. Chez Uber, les données sont inintelligibles pour une personne qui ne possède pas de compétence poussée en informatique et, qui plus est, en anglais » s’énerve la LDH. Elle cite le cas d’un chauffeur qui a reçu l’intégralité de ses données personnelles sous forme de seize fichiers Excel, en anglais.  La LDH s’étonne que la communication de certaines données soit refusée « sous prétexte qu’elle nécessiterait des moyens trop importants » écrit la LDH. Elle fait mine de s’étonner d’une telle réaction de la part d’Uber compte tenu de la compétence technologique de l’entreprise.

La LDH s’étonne également que les données de géo-localisation communiquées ne remontent pas à plus de 30 jours. « Cela exclut de fait le chauffeur de l’accès à ses données, alors même qu’Uber déclare dans sa déclaration de confidentialité collecter et conserver les données des chauffeurs tant que le compte Uber est actif. L’entreprise américaine a un double discours » martèle la LDH. De fait, on peut rappeler qu’Uber entraîne ses algorithmes informatiques de calcul de trajets sur les données de localisation de ses chauffeurs et l’on peut raisonnablement penser que toutes les données de géo-localisations sont traitées de manière régulière et conservées par la firme.

Dernier point, la LDH considère qu’il est contraire au droit français et européen qu’Uber inclut une clause limitative de responsabilité en matière de sécurité des données dans ses conditions générales. « Cette clause permet à Uber de se dédouaner d’éventuels pertes ou vols de données » relève la LDH.

Cet accès aux données des chauffeurs est important pour LDH qui souligne que ces informations peuvent intervenir dans le contexte actuel où certains chauffeurs demandent des requalifications de leur activité en contrat de salarié d’Uber. A l’heure où le « Privacy Shield » a été aboli, on peut enfin se demander ce qui régit désormais les transferts de données d’Uber de l’Europe vers les Etats-Unis. La LDH note que que les deux entités responsables de traitement des données d’Uber ne se trouvent pas en France mais sont basées aux Pays-Bas et aux Etats-Unis.