LEBIGDATA.FR I.A, Cloud & Cybersécurité
Mandatée par 99 chauffeurs, la LDH vient de déposer une plainte contre Uber pour non-respect de certaines des dispositions prévues au sein du Règlement général sur la protection des données personnelles (RGPD). La deuxième en quelques mois. Afin de mieux comprendre cette affaire complexe, nous nous sommes entretenus avec Jean-Guy de Ruffray, avocat spécialisé RGPD au cabinet Altana.
Le 12 juin 2020, la Ligue des Droits de l'Homme, mandatée par 99 chauffeurs, a déposé une plainte collective contre Uber devant la CNIL. La firme américaine était accusée de ne pas respecter le droit d'accès conféré aux chauffeurs par le RGPD aux données qu'elle collecte sur eux.
À présent, une seconde plainte supplétive vient d'être déposée suite au constat de deux autres infractions majeures au RGPD. Cette fois, Uber est accusée de refuser l'accès aux données des chauffeurs “ déconnectés “ et de ne pas prévoir la possibilité, pour les chauffeurs, de s'opposer à la cession commerciale de leurs données.
Selon Jérôme Giusti, avocat de la LDH en charge du dossier, ces manquements successifs démontrent qu'Uber » n'en fait qu'à sa tête « . Afin de mieux comprendre la situation et ses conséquences, nous nous sommes entretenus avec Jean-Guy de Ruffray, avocat spécialisé en données personnelles au sein du cabinet Altana.
Que pensez-vous de cette action à l'encontre d'Uber ?
On constate qu'il y a de plus en plus d'actions de ce type à l'encontre des grandes plateformes. Uber est une cible, comme a pu l'être Google. Toutes les sociétés dont le fonctionnement se base sur les données, ou sur la mise en oeuvre d'un algorithme lié aux données, sont dans l'oeil du cyclone.
Dans le cas d'Uber, un élément vient s'ajouter à tout ça : le contexte social. On voit bien qu'il y a une sorte d'instrumentalisation du RGPD au service d'un autre objectif.
La plainte de la Ligue des Droits de l'Homme, mandatée par les chauffeurs Uber, est une plainte supplétive qui vient rajouter des éléments à une plainte déposée en juin 2020. En l'occurrence, il semblerait que l'objectif des chauffeurs Uber soit de mieux connaître le fonctionnement de la plateforme pour éventuellement en contester les principes.
Rappelons que la Cour de Cassation a pour la première fois récemment requalifié le contrat d'un chauffeur Uber en contrat de travail, avec tout ce que ça implique en termes financiers notamment. Je pense que cette action qui vise à simplifier l'accès aux données de chauffeurs au nom du RGPD n'est pas sans lien avec une » stratégie » de requalification de contrats de chauffeurs Uber en contrats de travail…
Quel est votre avis sur cette instrumentalisation du RGPD ?
Cette instrumentalisation n'est pas nouvelle. Je l'ai déjà vue en tant qu'avocat. Il y a par exemple de plus en plus de demandes de droits d'accès dans un cadre salarial. Dans un contexte litigieux avec un salarié, le salarié va formuler une demande d'accès générale à son employeur pour obtenir les informations qu'il détient sur lui.
Cela est facilité par les conditions dans lesquelles le RGPD prévoit que le droit d'accès doit
s'exercer. Ce n'est donc pas étonnant qu'il puisse être utilisé de façon détournée.
Pensez-vous qu'on se dirige vers une modification du RGPD pour mieux encadrer ces requêtes et empêcher les abus ?
Le droit d'accès devrait donc être mieux encadré par les textes pour ne pas desservir les intérêts légitimes des responsables de traitement. En l'état, c'est un droit très général, auquel il est très difficile de s'opposer hormis en cas de répétitivité abusive des demandes.
En revanche, lorsqu'il s'agit d'un consommateur qui souhaite savoir quelles données détient sur lui une entreprise dont il est client, ce droit d'accès me paraît justifié. Et il en va de même pour la demande d'accès des chauffeurs Uber.
Rappelons qu'ils ne sont pas salariés. Sachant que le volume de courses qu'ils reçoivent est lié au fonctionnement de l'algorithme, il est compréhensible qu'ils souhaitent connaître quelles données de connexion Uber détient sur eux.
Que pensez-vous des manquements reprochés à Uber en eux-mêmes ?
Il semblerait qu'il leur soit principalement reproché de ne pas donner de réponse satisfaisante, ou de ne pas donner de réponse du tout, aux demandes d'accès. D'après ce que je comprends, il ne serait pas simple pour un chauffeur d'exercer son droit d'accès, car le chemin utilisateur est très complexe. Il y a donc un manque de transparence.
La deuxième chose qui leur est reprochée serait leur manque de réactivité. Sur ce point, il semble qu'Uber se soit réfugié derrière la problématique du confinement qui leur aurait donné du retard. Il n'est toutefois pas certain que cela puisse constituer une excuse valable, puisque les textes imposent une réponse dans un délai de 30 jours à compter de la réception de la demande.
La nature même des données fournies en cas de demande d'accès est problématique. Selon le texte, ces données doivent être facilement compréhensibles et utilisables. Or, d'après ce qu'on lit, ce ne serait pas du tout le cas. Les données seraient fournies sous forme de nombreux fichiers Excel très longs et incompréhensibles pour les chauffeurs qui exercent leur droit.
Par ailleurs, les chauffeurs ne semblent pas en mesure de s'opposer à la cession commerciale de leurs données (ce qui est un droit). Il semblerait enfin qu'il y ait une clause dans les conditions Uber disant qu'ils ne sont pas responsables en cas d'atteinte à la sécurité des données. Ceci peut s'entendre dans un rapport entre deux sociétés, mais dans le cas d'individus personnes physiques comme ici c'est vrai que c'est contestable.
Dans les mêmes conditions, ces faits auraient pu être reprochés à n'importe quelle autre société. Uber est pris pour cible, mais ses pratiques ne sortent pas de l'ordinaire.
Un autre élément intéressant est qu'il s'agit d'une action de groupe. La Ligue des Droits de l'Homme représente une centaine de chauffeurs Uber. C'est une belle illustration de cette nouvelle procédure concernant les données à caractère personnel, qui n'a pas encore été beaucoup utilisée.
La LDH reproche à Uber de » n'en faire qu'à sa tête « . Qu'en pensez-vous ? Les multinationales se sentent-elles à l'abri du RGPD ?
En 2018, Uber avait déjà été condamné à 400 000 euros d'amende par la CNIL, et avait aussi été condamné par les autorités de protection des données personnelles anglaises et néerlandaises. Ils avaient été hackés, et on leur avait reproché un défaut de sécurité des données.
Les identifiants des chauffeurs étaient stockés en clair sur la plateforme collaborative qui leur sert à fonctionner. Un cyberattaquant avait pu accéder à distance à un serveur et accéder aux données de millions d'utilisateurs.
C'était avant le RGPD, donc les sanctions n'étaient pas aussi élevées, mais déjà l'amende de 400 000 euros était très lourde à l'époque. Si la plainte de la LDH va jusqu'au bout, il est tout à fait possible qu'Uber fasse l'objet d'une condamnation aussi lourde.
Je ne pense pas qu'il faille négliger ces sanctions, comme ça a pu être le cas à l'époque de la condamnation de Google par la CNIL à hauteur de 50 millions d'euros. Cela reste des sommes très importantes, même pour des acteurs de cette envergure. D'autant que l'impact sur leur réputation est très important.
Si Uber est à nouveau condamné, ça risque de les faire réagir. Je pense que cette condamnation est quand même un moyen de pression qui peut les amener à changer leurs pratiques, si naturellement les reproches adressées s'avèrent exactes. Je ne suis vraiment pas certain que les grandes entreprises américaines se fichent du RGPD, mais il faudra leur poser la question directement…
Est-il possible que les données collectées illégalement leur rapportent plus que ce que peut leur coûter une amende RGPD ?
Visiblement, l'algorithme qui attribue les courses se base sur les données des chauffeurs. Certains commentateurs disent que ce fonctionnement serait contestable et Uber aurait intérêt à le dissimuler.
C'est ce qu'on comprend des plaintes, mais on n'a pas de preuves donc je ne veux en aucun cas accuser. C'est sûr que quand il y a un manque de transparence, on pense qu'il y a quelque chose à dissimuler.
Je ne pense pas d'une manière générale qu'il faille augmenter le montant des amendes RGPD. N'oublions pas que ce texte ne s'adresse pas qu'aux gros acteurs. Au contraire, à mes yeux les amendes théoriques maximales sont déjà extrêmement élevées. Je pense plutôt qu'il faudrait laisser les petites entreprises tranquilles sur de petites infractions et se focaliser sur les cas les plus graves.
De manière générale, est-ce que le RGPD est perçu comme une menace uniquement par les petites entreprises ? Parmi vos clients, y a-t-il un ressenti d'injustice ?
Oui, ça revient souvent dans les discours. Beaucoup de sociétés ont le sentiment qu'on leur impose des obligations très lourdes alors qu'on ferait mieux de s'occuper des gros acteurs qui ont une utilisation plus conséquentes des données.
D'une manière plus générale, le ressenti est une relative illisibilité du texte. Dans beaucoup de situations, on ne sait pas ce que l'autorité de contrôle ou le législateur européen attendent des acteurs économiques. Beaucoup de règles ne sont pas claires.
C'est le cas de la Privacy by Design, des délais de conservation, de l'information des personnes ou de la transparence dans les parcours utilisateur dans le monde numérique. Il y a beaucoup d'inconnues et c'est ce qui énerve les clients.
Ils ont le sentiment d'avoir un risque très lourd lié au RGPD en termes de sanctions, mais qu'on ne leur donne pas les outils pour s'y conformer. C'est ce qui revient souvent dans le discours de mes clients, et je suis totalement d'accord avec eux.
Pour prendre un exemple récent, dans le cadre du COVID-19, de nombreux acteurs ont dû collecter des données de santé alors que c'est normalement interdit. La CNIL a donné quelques recommandations, mais elle a oublié de nombreuses situations sur lesquelles nous nous sommes arrachés les cheveux.
De même, la situation avec le Privacy Shield est totalement hallucinante. L'accord a été invalidé en juillet, mais on ne sait toujours pas ce qu'il faut faire. La seule consigne est de conclure les clauses contractuelles types de la Commission européenne.
Or, ces clauses n'ont toujours pas été modifiées pour être en accord avec le RGPD et visent encore la directive de 1995. Et c'est pourtant l'argument pour démontrer que l'invalidation du Privacy Shield n'a pas créé de vide juridique…
C'est cette absence de réponses à des situations auxquelles ils font face qui énerve le plus mes clients. Il y a un problème de réactivité des autorités de contrôle. On a besoin de guidelines plus précises.
En tant qu'avocats, on est parfois obligés de donner des conseils et des avis et qui nous semblent intuitivement les bons, mais pour lesquels on n'a pas de bases solides sur lesquelles s'appuyer. C'est donc très peu satisfaisant.
Mes clients ont le sentiment d'avoir un risque très lourd d'être sanctionnés pour certains
manquements liés au RGPD, alors même qu'on ne leur donne pas les outils pour s'y conformer. C'est ce qui revient souvent dans leur discours, et je suis totalement d'accord avec eux !
- Partager l'article :
