Intervention de Mathias Moulin

La question des algorithmes concerne de nombreuses activités de la Cnil mais je souhaite tout d'abord replacer le cas d'Uber dans le contexte général de notre action.

Notre commission compte, en 2022, 270 agents pour un budget de 24 millions d'euros et remplit quatre missions principales : l'accompagnement et le conseil des pouvoirs publics, des associations et des entreprises ; l'information du public et l'éducation numérique ; le suivi et la veille de l'innovation ; l'instruction des plaintes et l'exécution des contrôles.

L'activité répressive mobilise une centaine d'agents qui traitent chaque année, depuis la mise en place du RGPD, entre 12 000 et 14 000 plaintes. Ces dernières touchent tous les aspects de la vie, la Cnil n'étant pas un régulateur sectoriel, contrairement à l'Autorité de régulation de la communication audiovisuelle et numérique (Arcom), dans la mesure où les données personnelles touchent à tous les aspects de notre vie.

Nous adressons chaque année entre 100 et 150 mises en demeure aux entreprises, aux administrations ou aux associations et obtenons une mise en conformité dans 95 % des cas. Nous délivrons aussi entre 15 et 20 sanctions par an, même si la finalité de l'action répressive est moins la punition que la mise en conformité, ce qui explique notre méthode en entonnoir – 14 000 plaintes, entre 300 et 400 contrôles, entre 100 et 150 mises en demeure et 15 à 20 sanctions.

Depuis 2018, le montant total des amendes infligées par la Cnil représente 500 millions d'euros.

Avant l'entrée en vigueur du RGPD, Uber a connu deux vagues de mesures correctrices de la Cnil, laquelle a procédé au contrôle de la société en 2016 et en 2017 au sujet des données collectées par ses chauffeurs ainsi que du traitement de celles de ses clients.

[Confidentiel]

La deuxième campagne de contrôle, qui concernait des aspects de sécurité, s'est conclue par une amende de 400 000 euros, dont la presse s'est fait l'écho.

Depuis l'entrée en vigueur du RGPD les demandes sont traitées au sein d'un guichet unique, lequel procède à la répartition entre l'autorité cheffe de file, dont la juridiction est celle du lieu d'implantation de l'établissement principal de la société, et les autres autorités concernées – parmi lesquelles, en l'espèce, la Cnil. L'établissement principal d'Uber étant aux Pays-Bas, c'est l'autorité néerlandaise qui a compétence sur le système de traitement transfrontalier des données au sein de l'Union européenne.

Elle doit en conséquence conduire les investigations et instruire les plaintes en coopération avec les autorités concernées et prendre les mesures correctrices. Ce dispositif modifie les moyens mobilisés et la chronologie de notre action, dont la durée est allongée par les instructions menées dans ce cadre coopératif, chose nécessaire compte tenu du caractère européen de l'opération et de la multiplication des échanges. Le rapport indirect qu'entretient l'autorité concernée à l'affaire contribue également à l'allongement de la procédure.

Les plaintes qu'une centaine de chauffeurs nous ont adressées concernaient trois sujets en particulier : la qualité de l'information fournie et les modalités d'exercice des droits ; le transfert des données hors de l'Union européenne ; et la prise de décision automatique de déconnecter certains chauffeurs en raison de leur notation ou d'une suspicion de fraude.

La diversité des sujets traités contribue à la complexité de notre activité, encore accrue par plusieurs processus de recevabilité qui jalonnent les différentes étapes de l'instruction, d'autant que les demandes doivent être conformes aux droits français et néerlandais.

L'autorité néerlandaise compte 175 agents, soit moins que la Cnil, qui mobilise de son côté deux agents à mi-temps sur le seul cas d'Uber.

Lorsque nous faisons face à de grands groupes comme Uber ou à des géants du numérique – nous avons déjà eu affaire à la plupart des Gafam (Google, Apple, Facebook, Amazon et Microsoft) –, nous devons instruire de grands volumes de documents et nous nous heurtons à une batterie d'avocats qui font feu de tout bois, d'où la nécessité, pour nous, de constituer des dossiers très robustes.

Ces plaintes ont donné lieu à une trentaine de réunions avec l'autorité néerlandaise, avec qui nous avons réalisé des contrôles sur place. De ce point de vue, la pandémie et les confinements ont nui à la fluidité des instructions.

Le cas des plateformes n'est pas spécifique au regard du RGPD, dans la mesure où ce règlement s'applique à elles comme à tout responsable de traitement de données à caractère personnel permettant l'identification directe ou indirecte de la personne, qu'il s'agisse d'une utilisation, d'un stockage, d'un transfert ou d'une suppression de données personnelles.

Les traitements mis en œuvre par Uber entrent donc dans le périmètre du RGPD et concernent trois catégories de personnes : les salariés, les clients et les chauffeurs. La dématérialisation presque totale de son service constitue néanmoins une particularité, le client n'ayant de contact physique qu'avec le chauffeur.

L'utilisation d'une application implique un traitement des données personnelles en vue de la mise en relation d'un client et d'un chauffeur, dispositif dont l'efficacité repose sur le recours à des algorithmes doublés d'un système de notation. Aussi le traitement des données constitue-t-il un maillon essentiel de l'activité d'Uber et, plus généralement, de l'ensemble des plateformes.

Toutes les dispositions du RGPD s'appliquent à Uber s'agissant des droits qu'elles offrent aux clients, aux salariés et aux chauffeurs, en particulier quant à l'accès à l'information. Les plaintes formées sur ce fondement mettaient en cause la qualité des informations délivrées, la difficulté d'y avoir accès du fait d'un parcours complexe mais aussi l'incomplétude des réponses fournies et le fait que certaines d'entre elles n'étaient délivrées qu'en anglais. Plus généralement, la nature des données communiquées, leur format et leur incomplétude posaient problème.

[Confidentiel]