La clause qui permet au responsable de traitement d’accéder au répertoire de contacts de l’utilisateur et de collecter indirectement des données via des cookies, pixels invisibles et autres technologies similaires “créant et maintenant des identifiants uniques” (profiling), n’est licite qu’à la condition au préalable d’avoir recueilli le consentement informé de la personne concernée (article 7/1° de la Loi Informatique et Libertés), à défaut pour le responsable du traitement d’être en mesure de justifier d’un autre fondement légitime du traitement énoncé aux 2°), 3°), 4°) et 5°) de l’article 7 de la loi précitée.
Sommaire
Autoriser l’accès aux données de contact
Par ailleurs, l’utilisateur qui s’est vu notifié des demandes d’autorisation de la plateforme (Uber) à l’occasion de sa première utilisation de l’application et qui continue de l’utiliser, voit son consentement présumé à autoriser l’accès aux données de contact. En conséquence, dans l’hypothèse d’un système d’exploitation Android, les “noms et informations de contact” extraits du carnet d’adresses du téléphone mobile de l’utilisateur – données à caractère personnel au sens de l’article 2 de la Loi Informatique et Libertés – sont collectées, traitées et stockées sans que l’utilisateur n’ait pu au préalable exprimer son consentement éclairé et indubitable à ces traitements.
Respect de la finalité d’un traitement
L’article 6/1°) de la Loi Informatique et Libertés conditionne la licéité du traitement portant sur des données à caractère personnel à la collecte et au traitement loyal et licite de ces données, pour des finalités déterminées, explicites et légitimes. Elles ne doivent pas être traitées ultérieurement de manière incompatible avec ces finalités.
L’article 32-I/2°) de la Loi Informatique et Libertés exige du responsable du traitement que la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant soit informée, sauf si elle l’a été au préalable, de la finalité poursuivie par le traitement auquel les données sont destinées. L’article 32-III de la Loi Informatique et Libertés impose les mêmes obligations au responsable du traitement, lorsque les données à caractère personnel n’ont pas été recueillies directement auprès de la personne concernée.
Tel n’est pas le cas des finalités décrites dans la clause, censées faciliter “les interactions sociales” via ses services. Ces finalités sont évoquées comme “tout autre but décrit dans la Déclaration” de confidentialité. Celles-ci ne sont donc ni explicites, ni déterminées, ni légitimes au sens de l’article 6 de la Loi Informatique et Libertés. N’informant pas l’utilisateur de manière explicite des finalités poursuivies, la société UBER, en sa qualité de responsable de traitement de ses données collectées, adopte une clause qui ne permet pas à l’utilisateur de recueillir son consentement éclairé et indubitable et le place dans une situation où il lui est impossible d’appréhender la véritable nature et le volume des données collectées et traitées.
Consentement et Profilage
En l’occurrence, le dispositif mis en place par la société Uber permet de donner des informations sur le comportement en ligne de l’utilisateur, de le suivre dans sa navigation sur internet, de collecter des “données de localisation” établies à partir de son téléphone mobile ou de son adresse IP, de recueillir les “informations de contact” extraites de son carnet d’adresses, de récolter des données relatives aux transactions qu’il effectue, de connaître la façon dont il interagit avec les(s) Service(s), de prendre connaissance de ses préférences et plus généralement d’appréhender les paramètres qu’il choisit et “toute autre information associée aux opérations”.
La société Uber collecte aussi directement auprès de l’utilisateur, au moment de la création de son compte ou lors de ses modifications, son nom, son adresse e-mail, son numéro de téléphone, son adresse postale, sa photo de profil, la méthode qu’il utilise pour effectuer ses paiements.
La collecte de l’ensemble de ces “données” ou “informations” constitue en réalité un traitement de données à caractère personnel au sens des articles 2, 6 et 7 de la Loi Informatique et Libertés, prévoyant le traitement de ces données à caractère personnel communiquées volontairement ou involontairement par l’utilisateur. S’il n’existe pas stricto sensu d’obligation légale de qualifier juridiquement les données à caractère personnel, la Loi Informatique et Libertés oblige le “responsable du traitement” à recueillir le consentement explicite et éclairé de la personne concernée par la collecte et le traitement de ses données personnelles (en l’espèce l’utilisateur). Ce dernier doit être en mesure de comprendre l’usage réel qui est fait des données le concernant, que ces données soient fournies de sa propre initiative ou collectées sans intervention de sa part (cookies, pixels invisibles et autres technologies).
Or, en l’absence d’une information claire et détaillée sur les données collectées par la société UBER lors de la création de son compte et de ses modifications ou lors de son utilisation de services – collecte dont il ignore l’existence et à laquelle il n’a pas expressément consenti – le traitement ultérieur des données à caractère personnel ne satisfait pas aux exigences de loyauté et de licéité prévues par l’article 6/1° de la Loi Informatique et Libertés, l’utilisateur étant dans l’impossibilité d’appréhender et de contrôler l’usage qui sera fait de ses données à caractère personnel.
Clause abusive sanctionnée
De surcroît, en laissant croire à l’utilisateur, que la société Uber est dispensée de toute obligation à son égard, lorsqu’il dépose de sa propre initiative des informations qui peuvent être qualifiées de données à caractère personnel, ou lorsqu’elles sont collectées à son insu, lesdites informations étant par la suite traitées, utilisées ou partagées par la plateforme, la clause est de nature à créer un déséquilibre significatif entre les droits et obligations des parties au contrat au sens de l’article L.221-1 du code de la consommation.
La Loi Informatique et Libertés fixe les conditions dans lesquelles des données à caractère personnel – permettant directement ou indirectement d’identifier des personnes physiques (article 2) – peuvent être collectées, exploitées, conservées, gérées, utilisées ou plus généralement faire l’objet d’une opération de traitement.
Cela confère à la personne concernée par ces opérations un droit à la protection de ses données personnelles, qui doivent être traitées loyalement et à des fins déterminées, explicites et légitimes (article 6), sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi (article 7).
L’article 6/3°) de la Loi Informatique et Libertés conditionne la licéité du traitement à ce que les données à caractère personnel de la personne concernée soient adéquates, pertinentes et non excessives au regard des finalités, pour lesquelles elles sont collectées et de leurs traitements ultérieurs.