Votre panier est actuellement vide !
Partage de données personnelles : un traitement en lui-même
Acceptation de la Politique de confidentialité, Cession de données, clause abusive, consentement éclaire, politique de confidentialité, RGDP, Transfert de données personnelles à des tiers, uber
Le “partage” de données personnelles avec des tiers, entités distinctes de la société responsable du traitement, telles que les filiales du groupe et entités affiliées telles que fournisseurs, consultants, partenaires marketing et autres prestataires de services, est lui-même un traitement de données à caractère personnel qui doit être autorisé par la personne concernée.
En s’abstenant d’informer l’utilisateur sur l’identification des bénéficiaires du transfert de ses données et sur les exactes finalités déterminées et explicites pour lesquelles la collecte de ces données personnelles est effectuée, les clauses des CGU de la société Uber sont illicites au regard des articles 2, 6, 32-I et 32-III de la Loi Informatique et Libertés.
Il ne peut être exigé de l’utilisateur d’une plateforme (Uber) à accepter toute cession future de ses données aux partenaires du prestataire. Il est nécessaire que l’utilisateur soit informé des nouvelles finalités du traitement et des destinataires des éventuels transferts de ses données, afin qu’il soit en mesure d’y consentir.
Affaire Uber : la transparence obligatoire
Aux termes de l’article 32-I/5°) de la Loi Informatique et Libertés, la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l’a été au préalable par le responsable de traitement ou son représentant, des destinataires ou catégories de destinataires des données.
En l’espèce, il ressort de l’analyse combinée des CGU d’Uber et de sa Déclaration de confidentialité, qu’une clause autorise d’une manière générale la société UBER à “partager” (c’est-à-dire transférer), aux filiales, sociétés affiliées d’UBER, fournisseurs, consultants, partenaires marketing et “autres destinataires” désignés d’une manière univoque sous le vocable de “prestataires”, l’ensemble des données à caractère personnel de l’utilisateur. Ce “partage” intervient, que les données aient été collectées directement auprès de l’utilisateur au moment de la création de son compte et de ses modifications ou indirectement par le placement par la société de cookies, pixels invisibles et autres technologies similaires, recueillies auprès d’autres sources comme les prestataires de paiement, réseau social, application, site internet utilisant l’API (de la société UBER).
Elles peuvent également être recueillies auprès de l’employeur de l’utilisateur, lorsqu’est utilisée une solution d’entreprise. Cela intervient dans tous ces cas de figure sans que l’utilisateur ait été au préalable informé précisément sur les destinataires ou catégories de destinataires auxquels ses données à caractère personnel sont transmises.
Partage de données, un nouveau traitement
Or, constitue un traitement de données à caractère personnel au sens de l’article 2 de la Loi Informatique et Libertés, toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction.
En conséquence, le “partage” avec des tiers, entités distinctes de la société telles que les filiales du groupe et entités affiliées telles que fournisseurs, consultants, partenaires marketing et autres prestataires de services, est au sens de l’article précité un traitement de données à caractère personnel.
Ce partage est réalisé en l’espèce à des fins étrangères à celles pour lesquelles les données à caractère personnel ont été initialement collectées. Tel n’est pas le cas de la clause qui prévoit la transmission de données personnelles de l’utilisateur à des tiers, sans que soit prévu le recueil de son consentement informé, spécifique et indubitable. La société UBER ne peut soutenir dans ses écritures que les entités listées, mais non désignées dans la clause, répondent toutes à la qualité de “sous-traitant” évoquée par l’article 3-II de la Loi Informatique et libertés. Elle ne peut donc être dispensée de fournir une information à leur sujet dans sa “Déclaration de Confidentialité”.
Principe de finalité et partage de données
L’article 6/1°) & 6/2°) de la Loi Informatique et Libertés impose que les données à caractère personnel soient collectées et traitées de manière loyale et licite, pour des finalités déterminées, explicites et légitimes et ne soient pas traitées ultérieurement de manière incompatible avec ces finalités.
Aux termes de l’article 32-I/2°) de la Loi Informatique et Libertés, la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l’a été au préalable par le responsable de traitement ou son représentant, de la finalité du traitement des données.
Clause abusive sanctionnée
Cette clause est abusive en ce qu’elle renvoie l’utilisateur, s’agissant de la transmission de ses données à caractère personnel, à des tiers non désignés, à des finalités vagues en usant à leur égard de formules imprécises comme “fournissent des services ou procèdent au traitement des données en son nom” ou “réalisent un travail pour son compte”. De sorte que la clause ne répond ni à l’exigence de finalités déterminées, explicites et légitimes posée par les 1°) et 2°) de l’article 6 de la Loi Informatique et libertés ni à l’obligation d’information de l’utilisateur contenue dans l’article 32-I, 2°) de la Loi Informatique et Libertés.
En conséquence, la clause critiquée, qui autorise des entités tierces à traiter les données à caractère personnel de l’utilisateur, à l’occasion d’un “partage” de ces données avec la société UBER, place l’utilisateur dans l’impossibilité d’appréhender la nature, le volume et l’usage qui sera fait de ses données à caractère personnel. Elle est donc illicite.
Consentement éclairé
Pour mémoire, aux termes de l’article 7 de la Loi Informatique et libertés, un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée, le consentement étant entendu comme l’autorisation donnée par une personne physique au traitement des données la concernant. Ainsi, le consentement doit, pour être valablement exprimé, d’une part “être informé”, l’information devant précéder le consentement et être délivrée avant le début du traitement, et d’autre part résulter d’une manifestation de volonté indubitable de la part de l’utilisateur.
En l’occurrence, le consentement de l’utilisateur, informé et spécifique pour chacune des finalités pour lesquelles les données sont traitées, ne peut se déduire de l’absence d’action ou du comportement passif de l’utilisateur. C’était pourtant le cas en l’espèce. Le consentement est également requis à l’occasion du transfert de données à caractère personnel, que ce soit auprès de tiers comme les filiales du groupe UBER ou auprès d’entités distinctes de la société UBER, avec qui elle “partage” des données à caractère personnel de l’utilisateur. L’exigence du consentement repose d’abord sur le fait que cette communication par “transmission, diffusion ou tout autre forme de mise à disposition” constitue un traitement automatisé de données à caractère personnel au sens de l’article 2 de la Loi Informatique et Libertés. Elle repose ensuite sur le fait que cette communication est réalisée à des fins étrangères à celles pour lesquelles les données ont été initialement collectées.
L’utilisateur doit donc être informé des destinataires des éventuels transferts de ses données et des nouvelles finalités du traitement, afin qu’il soit en mesure d’y consentir et éventuellement de s’y opposer. Par ailleurs, la société UBER, qui ne prévoit pas dans la clause critiquée le recueil du consentement informé, spécifique et indubitable de l’utilisateur, ne justifiait pas non plus que le fondement juridique qui légitime les traitements initiaux ou consécutifs aux transferts à des tiers était justifié par l’exécution du contrat qui le lie à l’utilisateur ou par un intérêt légitime qui soit de nature à évincer les intérêts, libertés et droits fondamentaux de l’utilisateur exigeant une protection de ses données à caractère personnel. De sorte qu’en s’abstenant d’informer l’utilisateur sur l’identification des bénéficiaires du transfert de ses données et sur les exactes finalités déterminées et explicites pour lesquelles la collecte de ces données personnelles est effectuée, les clauses critiquées sont illicites au regard des articles 2, 6, 32-I et 32-III de la Loi Informatique et Libertés.
