Plus de doute, les autorités européennes de contrôle en matière de protection des données ont décidé d’affirmer leurs pouvoirs et s’attaquent désormais aux plus grandes multinationales. Après les condamnations d’Amazon au Luxembourg et de TikTok aux Pays-Bas, c’est au tour de la célèbre application de livraison de plats cuisinés Deliveroo d’être sanctionnée en Italie.

L’Autorité régulatrice italienne a tout particulièrement inspecté le traitement opéré par la plateforme numérique des données personnelles des 8 000 coureurs cyclistes qu’elle emploie. Et le moins que l’on puisse dire, c’est qu’elle lui a fait perdre les pédales…

La « Garante per la Protezione dei Dati Personali » ou GPDP – équivalent italien de la CNIL[1] – a dressé la longue liste des manquements imputables à Deliveroo Italy : insuffisance de l’information donnée aux coureurs quant aux modalités de collecte et d’utilisation de leurs données personnelles, accessibilité des données par les opérateurs de toutes les autres sociétés du groupe, mise en place indue d’un système de profilage, absence de réalisation d’une analyse d’impact sur la protection des données…

Elle a notamment relevé le manque de transparence des algorithmes utilisés pour gérer les coureurs, tels que ceux ayant vocation à évaluer leur « fiabilité » ou à leur attribuer les ordres de commande des clients.  Selon elle, ces atteintes sont d’autant plus graves que le traitement des données personnelles de ces coursiers aboutit en un contrôle minutieux de leurs performances de travail (avec une détection de la position géographique toutes les 12 secondes ou encore la conservation de l’intégralité des données recueillies lors de l’exécution de la livraison par exemple).

[1] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles. Compte tenu de la nature, la gravité et la durée de ces violations, l’Autorité de Contrôle italienne a condamné Deliveroo Italy le 22 juillet dernier à s’acquitter d’une amende de 2,5 millions d’euros.

[1] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

L’ACCENT MIS SUR LE MANQUE DE PRÉCISION DE DELIVEROO ITALY

La particularité de cette décision réside dans l’insistance de l’Autorité régulatrice italienne sur le caractère vague et inadapté de la politique interne adoptée par Deliveroo Italy en matière de protection des données par rapport à la réalité de son activité.

A titre d’exemples, la « Garante per la Protezione dei Dati Personali » a pu considérer :

  • S’agissant de l’information des salariés concernant la durée de conservation de leurs données:

Que l’utilisation de formules tautologiques et extrêmement globales – en l’occurrence :  “Nous ne conserverons pas vos informations pendant une période plus longue que celle que nous jugeons nécessaire” – ne permet pas de comprendre la durée de conservation prévue.

L’Autorité de contrôle précise que le responsable de traitement ne peut se limiter à identifier des “blocs” de tranches de temps homogènes et appliqués à des traitements poursuivant différentes finalités sous prétexte qu’une clause générale serait le meilleur moyen de fournir des informations aux coureurs face à la complexité des dispositions relatives à la conservation des données.

  • S’agissant de l’information des salariés concernant le recours à un profilage:

Que la seule référence à la réalisation d’activités de profilage est insuffisante. Deliveroo Italy se devait de fournir des indications significatives sur la logique utilisée ainsi que sur l’importance et les conséquences attendues de ce traitement sur ses coursiers.

  • S’agissant de l’absence de réalisation d’une analyse d’impact:

Que la société échoue à démontrer en quoi elle n’était pas tenue d’effectuer une telle évaluation, se contentant pour faire valoir ses arguments de produire un document non daté et non signé dépourvu d’explications approfondies. L’Autorité de Contrôle Italienne rappelle ainsi non seulement la nécessité pour le responsable de traitement d’adapter les règles prévues en matière de protection des données à sa propre activité, mais aussi d’être en mesure de justifier des décisions prises à ce sujet.

A ce titre, le registre des traitements constitue une aide considérable à la mise en conformité.

L’IMPORTANCE DE LA TENUE RIGOUREUSE DU REGISTRE DES TRAITEMENTS

Pour rappel, les responsables de traitement et leurs sous-traitants ont l’obligation de tenir un registre des activités de traitement de données qu’ils effectuent, conformément à l’article 30 du Règlement Général sur la Protection des Données (RGPD).

Dans l’affaire « Deliveroo Italy », l’Autorité de Contrôle italienne s’est montrée intransigeante quant au contenu du registre des traitements tenu par la société.

Elle déplore dans un premier temps l’omission de certains renseignements au sein de ce document. Elle note par exemple l’absence d’indication de la collecte de certains types de données personnelles des coureurs (position géographique, détails des conditions de commande et de livraison, etc).

Mais surtout, elle réprouve fermement l’emploi de description générale pour expliquer les politiques de mise en conformité arrêtées par la plateforme. Elle fustige la référence générique aux mesures prétendument instaurées par Deliveroo Italy en la matière – mesures non précisées et sans aucune référence à des documents étayant la preuve des démarches accomplies en ce sens.

A cet égard, l’Autorité régulatrice italienne a indiqué que, pour être convaincant :

“Le registre doit être constamment mis à jour, car son contenu doit toujours correspondre aux traitements effectivement réalisés. Pour cette raison, il doit en tout état de cause comporter, de manière vérifiable, la date de son premier établissement […] ainsi que celle de la dernière mise à jour.

Il n’en était rien pour Deliveroo Italy, qui en a subi les frais et va maintenant devoir se remettre en selle…

Son caractère impératif mis à part, le Registre des traitements présente pourtant de nombreux avantages s’il est sérieusement constitué.  Il s’avère en effet être un outil précieux :

D’identification de vos besoins et obligations en matière de protection des données

De pilotage de votre conformité

De démonstration de la conformité

RGPD-Experts développe son outil de suivi de conformité RGPD.

Pour vous aider à créer et actualiser en toute simplicité un registre des traitements fiable et utile, capable de prouver efficacement le respect de vos obligations en matière de protection des données, RGPD-Experts a développé pour vous son logiciel.

Pour plus d’informations, rendez-vous sur l’onglet dédié de notre site : https://www.rgpd-experts.com/register/

Laure H.

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : vous simplifier le développement de vos activités sereinement et accroître votre chiffre d’affaires.