L’essentiel : La collecte des données personnelles par Uber, notamment via l’accès au carnet d’adresses des utilisateurs, soulève des questions de légalité. Selon la Loi Informatique et Libertés, le consentement éclairé de l’utilisateur est indispensable avant toute collecte. Or, l’utilisateur, en continuant d’utiliser l’application après notification, voit son consentement présumé, ce qui ne garantit pas une compréhension claire des finalités de cette collecte. De plus, les finalités évoquées par Uber manquent de précision et de légitimité, plaçant l’utilisateur dans l’incertitude quant à l’utilisation de ses données, ce qui contrevient aux exigences de loyauté et de transparence.

La clause qui permet au responsable de traitement d’accéder au répertoire de contacts de l’utilisateur et de collecter indirectement des données via des cookies, pixels invisibles et autres technologies similaires « créant et maintenant des identifiants uniques » (profiling), n’est licite qu’à la condition au préalable d’avoir recueilli le consentement informé de la personne concernée (article 7/1° de la Loi Informatique et Libertés), à défaut pour le responsable du traitement d’être en mesure de justifier d’un autre fondement légitime du traitement énoncé aux 2°), 3°), 4°) et 5°) de l’article 7 de la loi précitée.

Autoriser l’accès aux données de contact

Par ailleurs, l’utilisateur qui s’est vu notifié des demandes d’autorisation de la plateforme (Uber) à l’occasion de sa première utilisation de l’application et qui continue de l’utiliser, voit son consentement présumé à autoriser l’accès aux données de contact. En conséquence, dans l’hypothèse d’un système d’exploitation Android, les « noms et informations de contact » extraits du carnet d’adresses du téléphone mobile de l’utilisateur – données à caractère personnel au sens de l’article 2 de la Loi Informatique et Libertés – sont collectées, traitées et stockées sans que l’utilisateur n’ait pu au préalable exprimer son consentement éclairé et indubitable à ces traitements.

Respect de la finalité d’un traitement

L’article 6/1°) de la Loi Informatique et Libertés conditionne la licéité du traitement portant sur des données à caractère personnel à la collecte et au traitement loyal et licite de ces données, pour des finalités déterminées, explicites et légitimes. Elles ne doivent pas être traitées ultérieurement de manière incompatible avec ces finalités.

L’article 32-I/2°) de la Loi Informatique et Libertés exige du responsable du traitement que la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant soit informée, sauf si elle l’a été au préalable, de la finalité poursuivie par le traitement auquel les données sont destinées. L’article 32-III de la Loi Informatique et Libertés impose les mêmes obligations au responsable du traitement, lorsque les données à caractère personnel n’ont pas été recueillies directement auprès de la personne concernée.

Tel n’est pas le cas des finalités décrites dans la clause, censées faciliter « les interactions sociales » via ses services. Ces finalités sont évoquées comme « tout autre but décrit dans la Déclaration » de confidentialité. Celles-ci ne sont donc ni explicites, ni déterminées, ni légitimes au sens de l’article 6 de la Loi Informatique et Libertés. N’informant pas l’utilisateur de manière explicite des finalités poursuivies, la société UBER, en sa qualité de responsable de traitement de ses données collectées, adopte une clause qui ne permet pas à l’utilisateur de recueillir son consentement éclairé et indubitable et le place dans une situation où il lui est impossible d’appréhender la véritable nature et le volume des données collectées et traitées.

Consentement et Profilage

En l’occurrence, le dispositif mis en place par la société Uber permet de donner des informations sur le comportement en ligne de l’utilisateur, de le suivre dans sa navigation sur internet, de collecter des « données de localisation » établies à partir de son téléphone mobile ou de son adresse IP, de recueillir les « informations de contact » extraites de son carnet d’adresses, de récolter des données relatives aux transactions qu’il effectue, de connaître la façon dont il interagit avec les(s) Service(s), de prendre connaissance de ses préférences et plus généralement d’appréhender les paramètres qu’il choisit et « toute autre information associée aux opérations ».

La société Uber collecte aussi directement auprès de l’utilisateur, au moment de la création de son compte ou lors de ses modifications, son nom, son adresse e-mail, son numéro de téléphone, son adresse postale, sa photo de profil, la méthode qu’il utilise pour effectuer ses paiements.

La collecte de l’ensemble de ces « données » ou « informations » constitue en réalité un traitement de données à caractère personnel au sens des articles 2, 6 et 7 de la Loi Informatique et Libertés, prévoyant le traitement de ces données à caractère personnel communiquées volontairement ou involontairement par l’utilisateur. S’il n’existe pas stricto sensu d’obligation légale de qualifier juridiquement les données à caractère personnel, la Loi Informatique et Libertés oblige le « responsable du traitement » à recueillir le consentement explicite et éclairé de la personne concernée par la collecte et le traitement de ses données personnelles (en l’espèce l’utilisateur). Ce dernier doit être en mesure de comprendre l’usage réel qui est fait des données le concernant, que ces données soient fournies de sa propre initiative ou collectées sans intervention de sa part (cookies, pixels invisibles et autres technologies).

Or, en l’absence d’une information claire et détaillée sur les données collectées par la société UBER lors de la création de son compte et de ses modifications ou lors de son utilisation de services – collecte dont il ignore l’existence et à laquelle il n’a pas expressément consenti – le traitement ultérieur des données à caractère personnel ne satisfait pas aux exigences de loyauté et de licéité prévues par l’article 6/1° de la Loi Informatique et Libertés, l’utilisateur étant dans l’impossibilité d’appréhender et de contrôler l’usage qui sera fait de ses données à caractère personnel.

Clause abusive sanctionnée

De surcroît, en laissant croire à l’utilisateur, que la société Uber est dispensée de toute obligation à son égard, lorsqu’il dépose de sa propre initiative des informations qui peuvent être qualifiées de données à caractère personnel, ou lorsqu’elles sont collectées à son insu, lesdites informations étant par la suite traitées, utilisées ou partagées par la plateforme, la clause est de nature à créer un déséquilibre significatif entre les droits et obligations des parties au contrat au sens de l’article L.221-1 du code de la consommation.

La Loi Informatique et Libertés fixe les conditions dans lesquelles des données à caractère personnel – permettant directement ou indirectement d’identifier des personnes physiques (article 2) – peuvent être collectées, exploitées, conservées, gérées, utilisées ou plus généralement faire l’objet d’une opération de traitement.  

Cela confère à la personne concernée par ces opérations un droit à la protection de ses données personnelles, qui doivent être traitées loyalement et à des fins déterminées, explicites et légitimes (article 6), sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi (article 7).

L’article 6/3°) de la Loi Informatique et Libertés conditionne la licéité du traitement à ce que les données à caractère personnel de la personne concernée soient adéquates, pertinentes et non excessives au regard des finalités, pour lesquelles elles sont collectées et de leurs traitements ultérieurs.

Q/R juridiques soulevées :

Quelles sont les conditions pour que le responsable de traitement puisse accéder aux données de contact de l’utilisateur ?

Le responsable de traitement peut accéder au répertoire de contacts de l’utilisateur et collecter des données via des technologies comme les cookies ou les pixels invisibles uniquement si le consentement informé de la personne concernée a été préalablement recueilli. Cette exigence est stipulée dans l’article 7/1° de la Loi Informatique et Libertés. Si ce consentement n’est pas obtenu, le responsable du traitement doit justifier d’un autre fondement légitime pour le traitement des données, comme ceux énoncés aux 2°, 3°, 4° et 5° de l’article 7 de la même loi. Ainsi, le respect de cette condition est crucial pour la légalité du traitement des données personnelles.

Comment le consentement de l’utilisateur est-il présumé dans le cas de l’utilisation de l’application Uber ?

Lorsqu’un utilisateur reçoit une notification de demande d’autorisation lors de sa première utilisation de l’application Uber et continue à l’utiliser, son consentement est présumé. Cela signifie que l’utilisateur, en poursuivant l’utilisation de l’application, est considéré comme ayant accepté l’accès à ses données de contact. Dans le cas d’un système d’exploitation Android, cela inclut les « noms et informations de contact » extraits du carnet d’adresses de l’utilisateur. Cependant, cette présomption de consentement soulève des questions éthiques et juridiques, car l’utilisateur n’a pas eu l’opportunité d’exprimer un consentement éclairé et explicite.

Quelles sont les obligations du responsable de traitement concernant la finalité du traitement des données ?

L’article 6/1°) de la Loi Informatique et Libertés impose que le traitement des données à caractère personnel soit effectué de manière loyale et licite, pour des finalités déterminées, explicites et légitimes. Les données ne doivent pas être traitées de manière incompatible avec ces finalités. De plus, l’article 32-I/2°) exige que la personne concernée soit informée de la finalité du traitement, sauf si elle a déjà été informée. Si les finalités ne sont pas clairement définies, comme dans le cas des « interactions sociales » évoquées par Uber, cela peut rendre le traitement des données illégal.

Comment Uber collecte-t-il des données sur le comportement en ligne de l’utilisateur ?

Uber utilise un dispositif qui lui permet de suivre le comportement en ligne de l’utilisateur, en collectant des données de localisation à partir de son téléphone mobile ou de son adresse IP. Cela inclut également la collecte d’informations de contact extraites du carnet d’adresses de l’utilisateur, ainsi que des données relatives aux transactions effectuées. En outre, Uber recueille directement des informations lors de la création du compte de l’utilisateur, telles que son nom, son adresse e-mail, son numéro de téléphone, et d’autres données personnelles. Cette collecte extensive de données constitue un traitement de données à caractère personnel, qui doit respecter les exigences de consentement et de transparence.

Quelles sont les conséquences d’une clause abusive dans le contrat d’utilisation d’Uber ?

Une clause abusive dans le contrat d’utilisation d’Uber peut créer un déséquilibre significatif entre les droits et obligations des parties, ce qui est contraire à l’article L.221-1 du code de la consommation. En laissant croire à l’utilisateur qu’Uber n’a aucune obligation concernant les informations qu’il fournit, la clause peut être considérée comme trompeuse. La Loi Informatique et Libertés établit des conditions strictes pour la collecte et le traitement des données personnelles, et toute violation de ces conditions peut entraîner des sanctions pour le responsable du traitement. Cela souligne l’importance d’une transparence totale et d’un consentement éclairé dans le traitement des données personnelles.