« Ce verdict contraint Uber à plus de transparence », selon l’expert en protection des données René Mahieu
Le 11 mars dernier, le tribunal d’Amsterdam* rendait son verdict dans le procès qui opposait quatre chauffeurs de VTC à la plateforme Uber. Bannis de l’application pour « fraude », les chauffeurs contestaient cette accusation et demandaient au tribunal d’annuler la désactivation de leur compte, effectuée selon eux par un algorithme. Ce jugement représente une semi-victoire (et donc une semi-défaite) pour les deux parties. Mais il a le mérite de mettre à l’épreuve l’article 22 du règlement général sur la protection des données (RGPD) de l’UE, censé protéger tout un chacun contre les décisions automatisées injustes. Économiste et philosophe, René Mahieu mène sa thèse sur ces questions au sein du Groupe de recherche sur le droit, la science, la technologie et la société de la Vrije Universiteit Brussel (VUB). Il nous explique les conséquences de cette décision de justice pour les travailleurs des plateformes et au-delà.
*Le siège européen d’Uber étant aux Pays-Bas, le tribunal néerlandais est compétent.
Lors de son procès à Amsterdam au début du mois, Uber voulait établir que les chauffeurs abusaient du RGPD. À l’inverse, le tribunal a démontré que « mener une action collective pour demander l’accès à leurs données ne constitue pas un abus des droits à la protection des données de la part des chauffeurs. » Quelles pourraient être les conséquences d’une telle décision sur la relation entre les travailleurs des plateformes et les plateformes ?
Il existe une tradition d’actions collectives aux Pays-Bas. En général, les tribunaux acceptent les demandes collectives et déboutent les entreprises qui les qualifient d’abus de droit. Un cas particulièrement emblématique est apparu pendant la crise des subprimes : avec l’aide d’une émission de télé de défense des consommateurs très populaire, des milliers de clients de la banque Dexia ont demandé la transcription des conversations enregistrées lorsque leurs conseillers financiers leur vendaient des produits à risque. La Cour suprême des Pays-Bas a décidé que l’accès devait être accordé. Les clients ont utilisé les fichiers obtenus dans le cadre d’un recours collectif contre la banque.
« Défendre collectivement vos droits fonctionne dans le cadre du RGPD. »
Si elle n’est pas identique, cette affaire Uber est similaire. Avec ce verdict, la Cour déclare que la défense collective de vos droits fonctionne dans le cadre du RGPD. La conséquence de ce procès sera double : nous verrons beaucoup plus de ces actions collectives et les entreprises savent désormais que l’argument de l’abus de droit ne fonctionne pas.
Alors pourquoi la couverture médiatique de ce procès (dans TechCrunch par exemple) souligne-t-elle un résultat positif pour Uber ?
Premièrement, la décision semble positive pour Uber parce que le tribunal d’Amsterdam a imposé aux chauffeurs de spécifier très (trop, à mon sens) précisément quelles données ils voulaient recevoir de la part d’Uber. Or, comme le dit Jill Toh — de l’Université d’Amsterdam — dans l’article de Tech Crunch auquel vous faites référence, il est difficile pour les personnes qui formulent une demande d’accès d’être très spécifiques, car elles ne savent pas exactement quelles données sont traitées. Elles font donc généralement référence aux catégories de données assez vagues mentionnées dans la politique de confidentialité de l’entreprise. C’est précisément l’objet du principe de transparence en général et du droit d’accès en particulier que de permettre aux personnes de comprendre beaucoup plus précisément quelles données sont traitées et à quelles fins précises.
Mais tous les tribunaux ne sont pas aussi restrictifs que le tribunal d’Amsterdam l’a été ici. La Haute Cour de Vienne, par exemple, a récemment obligé Facebook à ne pas restreindre l’accès à certaines données personnelles que le réseau social juge intéressantes pour l’utilisateur. Ce tribunal a statué que Facebook doit fournir toutes les données personnelles si l’utilisateur le demande.
L’autre résultat apparemment positif pour Uber concerne la prise de décision automatisée. Dans ce procès, les quatre chauffeurs se sont plaints que leur compte a été soudainement suspendu, automatiquement, par l’algorithme d’Uber. D’après Uber, un comportement frauduleux de leur part justifie cette suspension. Or, selon l’article 15.1 (h) du Règlement général sur la protection des données (RGPD) de l’UE, quiconque a le droit d’obtenir une explication lorsqu’une entreprise prend une décision automatisée à son sujet. “Pourquoi ne suis-je plus autorisé à travailler ?”, ont ainsi demandé les chauffeurs à Uber par l’intermédiaire du tribunal.
« Vous avez le droit d’obtenir une explication lorsqu’une entreprise prend une décision automatisée à votre sujet. »
L’article 22.1 du RGPD stipule que « La personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire. » Uber a affirmé que lorsque le système détecte un comportement frauduleux, le chauffeur Uber qui en est à l’origine est automatiquement suspendu mais l’avocat de la plateforme a ajouté que si le chauffeur appelle Uber, Uber réactivera son compte. S’agit-il ici d’un « effet juridique le concernant ou l’affectant de manière significative de façon similaire » ? Le tribunal a estimé que non.
Ensuite, si un nouveau comportement frauduleux est repéré, la plateforme de VTC assure que deux employés d’Uber décident de suspendre définitivement les chauffeurs incriminés, ou pas. La société affirme donc que la suspension n’est pas automatique, elle est déterminée par des êtres humains. Cet argument a été accepté par le tribunal qui a estimé que la désactivation du compte n’était donc pas « fondée uniquement sur un traitement automatisé » au sens de l’article 22 du RGPD.
Logique. Mais sait-on si cette procédure humaine existe réellement ? Devant un tribunal, est-ce aux chauffeurs de prouver que c’est faux ou à Uber de prouver que c’est vrai ?
Ni l’un ni l’autre. Si Uber dit que c’est comme ça, les chauffeurs doivent faire valoir qu’il est plausible que ce soit faux. Et les chauffeurs ne l’ont pas fait. Je ne sais pas pourquoi. Comme ils ne l’ont pas fait, la cour a considéré que cela se déroule comme Uber l’a expliqué. Et vous savez, la suspension peut vraiment avoir lieu ainsi. Auquel cas les chauffeurs ne sont effectivement pas virés par un robot, et il n’y a pas de problème.
Quoi qu’il en soit, cet aspect de l’affaire a offert deux éléments positifs aux chauffeurs. Premièrement, Uber est tenu de dire à un chauffeur pourquoi il a été licencié. Le paragraphe 4.29 du verdict stipule que « Uber doit accorder à [conducteur 2] et [conducteur 4] l’accès à leurs données personnelles en vertu de l’article 15 du GDPR, pour autant que ces données aient servi de base à la décision de désactiver leurs comptes, de manière à ce qu’ils puissent vérifier l’exactitude et la légalité du traitement de leurs données personnelles. » Avec ce jugement, Uber ne pourra plus dire « nous ne savions pas que nous devions le faire. » Ils devront justifier la désactivation si le conducteur le demande.
« L’intérêt d’un conducteur à savoir pourquoi il a été licencié est plus important que l’intérêt d’Uber à protéger son secret. »
Deuxièmement, lorsque Uber a déclaré que donner ces informations aux chauffeurs constituait une menace pour leur activité, le tribunal a rejeté l’objection. Uber a tenté de faire valoir qu’en expliquant au chauffeur pourquoi il a été licencié, l’entreprise donnerait de précieuses indications sur les paramètres de fonctionnement de son système de détection des fraudes, ce qui permettrait à quiconque de le contourner. Le tribunal a rejeté l’argument, arguant qu’Uber n’avait pas suffisamment détaillé pourquoi et comment cela pouvait se produire. Tout cela signifie que l’intérêt d’un chauffeur à savoir pourquoi il a été licencié pèse davantage que l’intérêt d’Uber à protéger ses secrets algorithmiques.
Je ne suis pas surpris. Les entreprises perdent souvent avec ce genre de stratégie. Les tribunaux considèrent généralement les droits des individus comme plus importants que les vagues arguments de protection des intérêts que tentent régulièrement de faire valoir les entreprises.
Si c’est aux conducteurs de montrer qu’il est plausible que ce soit faux, comment peuvent-ils le faire sans avoir accès aux données ?
Vous mettez là le doigt sur un point sensible. Dans ce cas, mais aussi dans de nombreuses autres affaires. Ici, Uber a donné une description très détaillée de sa procédure. L’entreprise devait le faire. Ce faisant, elle a offert une opportunité aux conducteurs : si deux personnes chez Uber prennent la décision de désactiver les comptes des chauffeurs, ils ont probablement un fichier ou un dossier « ressources humaines » à leur sujet. Un tel fichier est une donnée personnelle. « Donnez-moi l’avis de ces deux personnes sur moi », peuvent donc exiger les chauffeurs. L’article 15 du RGPD donne à toute personne le droit d’accès à ses données personnelles.
Les conducteurs l’ont-ils demandé ?
Il semble qu’ils n’aient pas soumis cette demande spécifique. Sans doute parce qu’ils ne connaissaient pas l’existence de ces deux personnes impliquées. Maintenant qu’ils le savent, ils pourraient faire cette demande. Soit en appel, soit en demande d’accès.
Les conducteurs obtiendraient-ils ces données, sachant que la cour a rejeté leur demande d’accès aux notes, tags et rapports manuels les concernant ? Et cette décision n’est-elle pas surprenante alors que, depuis fin 2017, l’arrêt Nowak permet à un étudiant de voir les commentaires écrits par un correcteur sur ses copies d’examen ? Les situations du chauffeur de VTC et de l’étudiant ne sont-elles pas similaires à cet égard au regard de la loi ?
Il est en effet surprenant que le tribunal a complètement rejeté l’accès aux « notes internes » qui font partie du profil des chauffeurs, ainsi qu’aux tags tels que « comportement inapproprié ». Sur cette question, deux arrêts de la Cour de justice de l’Union européenne (CJUE), la plus haute juridiction d’Europe, sont en contradiction l’un avec l’autre : Dans l’affaire YS and Others, en 2014, la CJUE a opté pour une application restrictive du droit d’accès, alors que dans l’affaire Nowak que vous citez, sa portée était beaucoup plus large. Dans cette affaire Uber, le tribunal néerlandais s’appuie davantage sur la première décision de la CJUE que sur la seconde. Pourtant, si nous suivons la dernière décision de la CJUE, ce qui semblerait approprié dans ce cas, ces notes internes devraient être considérées comme des données personnelles.
Il convient de souligner ici un problème spécifique à la jurisprudence néerlandaise : dans la célèbre affaire Dexia évoquée plus haut, la Cour suprême néerlandaise a jugé que l’accès aux notes internes contenant les pensées personnelles des employés ne devait pas être autorisé si ces annotations ne font pas partie d’un système de fichiers (paragraphe 3.14 du verdict). Je pense que la Cour a ainsi voulu signifier que des notes prises manuellement par un employé, dans un cahier, lors d’une conversation avec un collègue, ne relèvent pas du droit d’accès si elles ne sont pas ensuite ajoutées au dossier personnel d’un client (ou, dans ce cas, d’un chauffeur).
Mais si ces notes sont saisies directement dans un système numérique, et surtout si elles font partie du “dossier” de la personne qui demande à les obtenir, elles devraient relever du droit d’accès. Malheureusement, plusieurs tribunaux néerlandais ont déformé la décision de la Cour suprême et retenu que les notes internes ne relèvent pas du droit d’accès. Heureusement, le Conseil d’État (juridiction de dernière instance en matière de droit public) a récemment statué en termes très clairs que cette interprétation courante est effectivement erronée (paragraphe 7.1 de l’arrêt), et que les notes personnelles des employés ne sont pas catégoriquement exemptes d’accès.
Uber invoque la protection de la vie privée de ses clients pour justifier le fait de ne pas fournir davantage de données aux conducteurs. Quel est le rapport ?
L’article 15.4 du GDPR indique que votre droit d’accès à vos propres données « ne doit pas porter atteinte aux droits et libertés d’autrui. » Le commentaire d’un passager étant également une donnée personnelle pour lui-même, Uber a déclaré que le porter à la connaissance des chauffeurs porterait atteinte à la vie privée de ses clients.
Existe-t-il des moyens techniques et/ou juridiques pour satisfaire tout le monde ?
C’est en fait un bon argument. Mais Uber peut livrer un commentaire au chauffeur sans divulguer l’identité du passager ni la date, l’heure et le lieu exacts où il a été écrit. Dans cette affaire, le tribunal a ordonné à Uber de partager les évaluations avec les chauffeurs sous couvert d’anonymat. Ils le feront probablement, comme ils l’ont déjà fait dans le passé, pour certains chauffeurs.
Le contenu du commentaire donne parfois une indication claire sur son auteur…
Exact. C’est une question délicate. Il peut toujours y avoir un cas qui va créer débat. Si cela arrive, Uber doit faire la balance entre l’intérêt du conducteur à obtenir l’accès et le respect de la vie privée du passager. Si Uber décide de ne pas partager un commentaire avec un chauffeur, ce dernier peut demander à un tribunal d’arbitrer.
Votre collègue Mireille Hildebrandt, avocate et philosophe, a commenté sur Twitter que « la Cour ne comprend pas l’importance cruciale du profilage automatisé basé sur les comportements des conducteurs, et ne comprend pas les exigences fondamentales de transparence du RGPD. » Notre société est en péril si les tribunaux ne comprennent pas le monde dans lequel nous vivons. Comment résoudre ce problème ?
De manière générale, il n’est pas inexact d’affirmer que, souvent, les juges ne connaissent pas grand-chose à l’économie des plateformes, à l’économie numérique, aux droits numériques, à l’intelligence artificielle, à la prise de décision automatisée… Ce sont des sujets très complexes. C’est pour cela que les autorités nationales de protection des données existent. Le RGPD stipule que chaque pays européen doit se doter d’une telle autorité, car les régulateurs savent pertinemment que ce sont des sujets extrêmement complexes.
Ces autorités de protection des données sont censées avoir des employés très spécialisés pour traiter efficacement ces questions complexes. Si vous avez un problème lié à vos données personnelles, vous pouvez aller au tribunal, mais vous pouvez aussi vous adresser à votre autorité nationale de protection des données, qui a le pouvoir d’infliger une amende. Le problème (j’ai écrit un article à ce sujet) c’est que dans de nombreux pays, dont les Pays-Bas, les autorités de protection des données sont complètement débordées. Elles n’ont pas assez d’argent. Elles n’ont pas assez de personnel. Leur donner les moyens de remplir leurs missions serait un grand pas vers la résolution du problème que vous évoquez.
Quelles sont les prochaines étapes pour les chauffeurs locaux, par exemple pour les 3000 chauffeurs travaillant pour Uber ici en Suisse ?
Cette décision du tribunal de district d’Amsterdam est porteuse d’énormément d’espoir pour les chauffeurs Uber. Je pense qu’il est logique qu’ils continuent à utiliser leurs droits collectivement. Mais les chauffeurs ont besoin de trouver de l’aide, notamment d’un soutien juridique pour analyser ce jugement en détail.
« Les conducteurs devraient demander à Uber ce qui, dans son algorithme, explique qu’au début, ils obtiennent beaucoup de courses puis, soudainement, beaucoup moins. »
Ils savent maintenant que s’ils sont bloqués, ils ont le droit de savoir pourquoi. S’ils sont autorisés à demander l’accès aux commentaires, ils pourront enquêter et, par exemple, constater que du racisme est à l’origine de certaines mauvaises évaluations. Ils pourraient ensuite utiliser le résultat de leurs analyses pour contraindre Uber à réagir, à ne pas considérer ces évaluations comme pertinentes.
Certains chauffeurs m’ont expliqué que lorsqu’on commence à travailler pour Uber, on obtient beaucoup de courses, mais qu’au bout d’un mois environ, tout à coup, on reçoit beaucoup moins de courses. Les chauffeurs pensent qu’il s’agit d’une décision automatisée. Et je pense qu’elle a un « effet juridique » ou qu’elle les « affecte de manière significative » et relève donc de l’article 22 du RGPD. C’est un point sur lequel Uber devrait être interrogé. Les chauffeurs devraient demander à Uber ce qui, dans leur algorithme, explique pourquoi, au début, ils obtiennent beaucoup de courses et puis, soudainement, beaucoup moins.
Au-delà d’Uber, pensez-vous que cette affaire incitera des travailleurs d’autres plateformes à s’unir pour défendre leurs droits ?
Oui, je le pense. Nous avons discuté du fait que cette affaire est à la fois une victoire et une défaite pour les chauffeurs. Mais même avec ce résultat ambivalent, elle oblige Uber à faire beaucoup plus que jamais auparavant. Uber est énorme et a beaucoup d’argent. Les chauffeurs, individuellement, ne sont pas si forts. C’est pourquoi je pense que la collectivisation, le fait de se réunir et d’argumenter ensemble en tant que groupe de travailleurs, en tant que groupe d’employés, a beaucoup de sens. Pour les chauffeurs Uber, les travailleurs des plateformes, mais aussi pour les consommateurs.
« Ce nouveau procès Uber montre que l’utilisation collective du droit à la protection des données fonctionne et change l’équilibre des pouvoirs. »
Les individus sont généralement en position de faiblesse. Ils ne sont pas spécialistes, ils ne sont que des consommateurs/travailleurs contre une entreprise qui pèse parfois plusieurs milliards de dollars et qui opère au niveau mondial… naturellement, ils ont le sentiment de n’avoir aucune chance. Mais, en faisant valoir leur droit comme prévu par la loi sur la protection des données et en le faisant collectivement, comme ici avec Uber ou dans l’affaire Dexia dont je vous ai parlée plus tôt, ils ont entre les mains un pouvoir réel. Ensemble, ils sont plus forts qu’ils ne l’auraient jamais été autrement. Ce que ces décisions montrent, c’est que cette stratégie fonctionne. Elle change l’équilibre des pouvoirs.
Propos recueillis par Charles Foucault-Dumas, auteur et journaliste expert du monde numérique.
PersonalData.IO est un organisme à but non lucratif dont l’objectif est de rendre les droits à la protection des données individuellement actionnables et collectivement utiles. Si vous êtes un chauffeur Uber et que vous souhaitez obtenir une copie de vos données, suivez notre guide.
Si vous souhaitez reprendre le contrôle de vos données provenant d’autres sources, rejoignez la conversation sur le forum PersonalData.io ou suivez-nous sur Twitter.
Découvrez d’autres articles sur ces sujets grâce au blog PersonalData.io.
