Pour les informations criminels, ça peut être les amendes que les chauffeurs récoltent (ou les accidents, les points de permis). Si une personne est condamnée pour conduite en état d'ivresse lors d'une course sur la plateforme, c'est une information qui pourrait tomber sous la qualification de "criminal data" si Uber garde ça pour bloquer la plateforme à la personne (blocage qui ne me semblerais pas illégitime en soit).
Pour les informations médicales, je suppose que ça pourrait simplement être les déclarations de RQTH (reconnaissance de la qualité de travailleur handicapé), vu qu'un handicap, c'est une info médicale, ou ce genre de choses. Il faut bien voir que "medical data", ça ne veut pas dire "l'intégralité de tes données de santé".
Tout comme quand ton entreprise note qui contacter en cas d'accident avec la mention conjoint/conjointe, ç'est un traitement possible de l'orientation sexuelle (cf le cas C‑184/20 de la CJUE que je ressort tout le temps) qui tomberais sous le coup de l'article 9 du RGPD.
Mais dans l'affaire du jour, le souci n'est pas d'avoir l'info (car bon, dans les 2 exemples que j'ai donné, je pense qu'on peut trouver des cas légitimes suivant le détail), mais d'avoir transféré d'une entité dans l'UE (Uber, le contrôleur) vers une entité (XXX, le processeur) ailleurs (ici les USA) sans se soucier de l'article 44 du RGPD.
L'article 44 dit grosso modo "faut respecter l'article 45, 46 ou 47".
Le 47 (binding corporate rules), OSEF un peu dans mon souvenir.
Le 45, c'est "on peut transférer si il y a un accord entre l'UE et le pays du transfert" (plus conditions pour que l'accord soit valable).
Le 46, c'est "on peut transférer si il y a suffisamment de garantie entre les 2 parties via un contrat". En gros, si la loi d'un pays n'oblige pas à respecter le RGPD, mais que le contrat le demande, ça suffit.
De ce que je comprends (sans avoir lu ce que la CNIL a écrit et sur la base de la presse), Uber s'est sans doute appuyé sur l'article 45 pour utiliser des fournisseurs aux USA à l'époque ou il y avait un accord (Privacy Shield), puis n'a rien fait quand l'accord a sauté suite à l'affaire Schrems II en 2020 (qui a rendu l'accord invalide). Uber aurait pu éviter l'amende en commençant à renégocier ses contrats, etc, car je pense que la justice ne demande pas une adéquation parfaite et immédiate.
Si une boite prouve sa bonne foi et du progrès sur la mise en adéquation aprés un changement soudain, je suppose qu'elle ne prends pas 290 millions d'amende car tout le monde sait que ça va prendre du temps.
Mais il est probable qu'Uber n'ai rien fait pendant 3 ans (entre 2020 et 2023, date du nouvel accord), càd non seulement n'a pas changé les contrats existants avec ses fournisseurs lors des renouvellements, et n'a sans doute rien fait avec les nouveaux en mode YOLO, s'appuyant sur l'article 45 comme avant en se disant "ça va revenir de toute façon, on va pas se faire chier avec l'article 46".
Alors ayant lu l'article de la CNIL, c'est les transferts entre Uber Pays bas et Uber USA qui sont en cause (genre le traitement par les ressources humaines, etc).
Donc j'avais tort sur le fait qu'on se fout des BCR (article 47) car c'est exactement à ça que ça sert. Tu va dire "oui, on a des trainings, on des audits, des règles, etc" (cf https://en.wikipedia.org/wiki/Binding_corporate_rules).
Uber a donc juste du s'en foutre, et ne pas faire de training en interne ni rien. Avec l'amende de 10 millions il y a quelque temps déjà aux pays bas, ça fait grimper la facture.
Je ne vous toujours pas comment une infraction au code la route (par exemple) peut se retrouver dans les petits papiers d'Uber.
Idem pour la santé sauf à déclaration volontaire du conducteur sur la plateforme.
Et par rapport au 290 M€ et le rgpd:
Je ne suis pas très pointu sur la chose mais je pense en avoir saisi l'esprit. Merci pour les précisions que tu apportes. Ça permet d'apprendre sur le tas sur la base d'un cas pratique ;)
Après, c'est une histoire de gros sous et Uber a fait appel (j'imagine qu'il doit être suspensif), donc rien n'est fait pour le moment.
"Si tous les cons volaient, il ferait nuit" F. Dard
Je ne vous toujours pas comment une infraction au code la route (par exemple) peut se retrouver dans les petits papiers d'Uber.
Je suppose que si tu fais ça pendant que tu conduis pour Uber ou ce genre de choses, ils vont être au courant. Dans le cas précis de Uber, je pense que c'est compliqué(tm) vis à vis du salariat, etc, mais si tu as une infraction type excés de vitesse avec une voiture d'entreprise dans un cadre normal (genre CDI), l'info se retrouve chez ton employeur vu que c'est lui qui va reçevoir l'amende. Donc tu va de facto savoir que quelqu'un chez toi a enfreint le code de la route (et de facto le traiter).
Maintenant, ç'est peut être aussi un système qui va pénaliser les chauffeurs qui ont trop d'amende à base de machine learning, etc, etc.
La CNIL est assez light sur les détails de l'audit, sans doute par obligation de respect du secret professionnel (article 54, point 2 du RGPD, pour bien montrer que j'ai tout lu :p).
Idem pour la santé sauf à déclaration volontaire du conducteur sur la plateforme.
Encore une fois, dans le cas de Uber, la question du salariat est sans doute plus complexe mais je tente juste d'illustrer en ne me préoccupant pas de ça.
Si tu veux un aménagement en tant que salarié, il faut le demander et une RQTH peut aider à ça. Je connais quelqu'un qui a eu un jour de TT en plus grâce à une RQTH. Mais pour ça, faut la montrer, et quelqu'un dans l'entreprise doit s'en occuper. C'est un traitement, c'est (selon moi) une donnée médicale, donc ça tombe dedans. C'est sans doute pas ça en pratique, mais ç'est pour illustrer.
Plus prosaïquement, c'est peut être des histoires d'assurances ou de visites médicales, des trucs comme ça.
La CNIL ne reproche pas à Uber d'avoir l'info (en tout cas, l'amende ne porte pas sur ça). Et personne ne dit qu'il n'y avait pas le consentement des employés (même si le consentement ne peux pas trop être utilisé comme base de traitement (article 6 du RGPD) dans le cadre d'une relation de travail, car on suppose que l'employeur a plus de pouvoir que l'employé)
Juste d'avoir passé ça de Uber UE à Uber USA sans cadre réglementaire interne (article 47) ou externe (article 45).
Centraliser tes services de compta ou autre aux USA, c'est faire un transfert par exemple.
# Sur HN et co
Posté par Misc (site web personnel) . Évalué à 3.
HN:
https://news.ycombinator.com/item?id=41355021
# comment est ce seulement possible
Posté par Luc-Skywalker . Évalué à 5.
A propos du transfert d'infos par Uber
Comment se fait il que ces informations soient dans les BDDs d'Uber ?
"Si tous les cons volaient, il ferait nuit" F. Dard
[^] # Re: comment est ce seulement possible
Posté par Misc (site web personnel) . Évalué à 5.
J'ai des hypothèses.
Pour les informations criminels, ça peut être les amendes que les chauffeurs récoltent (ou les accidents, les points de permis). Si une personne est condamnée pour conduite en état d'ivresse lors d'une course sur la plateforme, c'est une information qui pourrait tomber sous la qualification de "criminal data" si Uber garde ça pour bloquer la plateforme à la personne (blocage qui ne me semblerais pas illégitime en soit).
Pour les informations médicales, je suppose que ça pourrait simplement être les déclarations de RQTH (reconnaissance de la qualité de travailleur handicapé), vu qu'un handicap, c'est une info médicale, ou ce genre de choses. Il faut bien voir que "medical data", ça ne veut pas dire "l'intégralité de tes données de santé".
Tout comme quand ton entreprise note qui contacter en cas d'accident avec la mention conjoint/conjointe, ç'est un traitement possible de l'orientation sexuelle (cf le cas C‑184/20 de la CJUE que je ressort tout le temps) qui tomberais sous le coup de l'article 9 du RGPD.
Mais dans l'affaire du jour, le souci n'est pas d'avoir l'info (car bon, dans les 2 exemples que j'ai donné, je pense qu'on peut trouver des cas légitimes suivant le détail), mais d'avoir transféré d'une entité dans l'UE (Uber, le contrôleur) vers une entité (XXX, le processeur) ailleurs (ici les USA) sans se soucier de l'article 44 du RGPD.
L'article 44 dit grosso modo "faut respecter l'article 45, 46 ou 47".
Le 47 (binding corporate rules), OSEF un peu dans mon souvenir.
Le 45, c'est "on peut transférer si il y a un accord entre l'UE et le pays du transfert" (plus conditions pour que l'accord soit valable).
Le 46, c'est "on peut transférer si il y a suffisamment de garantie entre les 2 parties via un contrat". En gros, si la loi d'un pays n'oblige pas à respecter le RGPD, mais que le contrat le demande, ça suffit.
De ce que je comprends (sans avoir lu ce que la CNIL a écrit et sur la base de la presse), Uber s'est sans doute appuyé sur l'article 45 pour utiliser des fournisseurs aux USA à l'époque ou il y avait un accord (Privacy Shield), puis n'a rien fait quand l'accord a sauté suite à l'affaire Schrems II en 2020 (qui a rendu l'accord invalide). Uber aurait pu éviter l'amende en commençant à renégocier ses contrats, etc, car je pense que la justice ne demande pas une adéquation parfaite et immédiate.
Si une boite prouve sa bonne foi et du progrès sur la mise en adéquation aprés un changement soudain, je suppose qu'elle ne prends pas 290 millions d'amende car tout le monde sait que ça va prendre du temps.
Mais il est probable qu'Uber n'ai rien fait pendant 3 ans (entre 2020 et 2023, date du nouvel accord), càd non seulement n'a pas changé les contrats existants avec ses fournisseurs lors des renouvellements, et n'a sans doute rien fait avec les nouveaux en mode YOLO, s'appuyant sur l'article 45 comme avant en se disant "ça va revenir de toute façon, on va pas se faire chier avec l'article 46".
[^] # Re: comment est ce seulement possible
Posté par Misc (site web personnel) . Évalué à 3.
Alors ayant lu l'article de la CNIL, c'est les transferts entre Uber Pays bas et Uber USA qui sont en cause (genre le traitement par les ressources humaines, etc).
Donc j'avais tort sur le fait qu'on se fout des BCR (article 47) car c'est exactement à ça que ça sert. Tu va dire "oui, on a des trainings, on des audits, des règles, etc" (cf https://en.wikipedia.org/wiki/Binding_corporate_rules).
Uber a donc juste du s'en foutre, et ne pas faire de training en interne ni rien. Avec l'amende de 10 millions il y a quelque temps déjà aux pays bas, ça fait grimper la facture.
[^] # Re: comment est ce seulement possible
Posté par Luc-Skywalker . Évalué à 3.
Par rapport à mon questionnement:
Je ne vous toujours pas comment une infraction au code la route (par exemple) peut se retrouver dans les petits papiers d'Uber.
Idem pour la santé sauf à déclaration volontaire du conducteur sur la plateforme.
Et par rapport au 290 M€ et le rgpd:
Je ne suis pas très pointu sur la chose mais je pense en avoir saisi l'esprit. Merci pour les précisions que tu apportes. Ça permet d'apprendre sur le tas sur la base d'un cas pratique ;)
Après, c'est une histoire de gros sous et Uber a fait appel (j'imagine qu'il doit être suspensif), donc rien n'est fait pour le moment.
"Si tous les cons volaient, il ferait nuit" F. Dard
[^] # Re: comment est ce seulement possible
Posté par Misc (site web personnel) . Évalué à 3.
Je suppose que si tu fais ça pendant que tu conduis pour Uber ou ce genre de choses, ils vont être au courant. Dans le cas précis de Uber, je pense que c'est compliqué(tm) vis à vis du salariat, etc, mais si tu as une infraction type excés de vitesse avec une voiture d'entreprise dans un cadre normal (genre CDI), l'info se retrouve chez ton employeur vu que c'est lui qui va reçevoir l'amende. Donc tu va de facto savoir que quelqu'un chez toi a enfreint le code de la route (et de facto le traiter).
Maintenant, ç'est peut être aussi un système qui va pénaliser les chauffeurs qui ont trop d'amende à base de machine learning, etc, etc.
La CNIL est assez light sur les détails de l'audit, sans doute par obligation de respect du secret professionnel (article 54, point 2 du RGPD, pour bien montrer que j'ai tout lu :p).
Encore une fois, dans le cas de Uber, la question du salariat est sans doute plus complexe mais je tente juste d'illustrer en ne me préoccupant pas de ça.
Si tu veux un aménagement en tant que salarié, il faut le demander et une RQTH peut aider à ça. Je connais quelqu'un qui a eu un jour de TT en plus grâce à une RQTH. Mais pour ça, faut la montrer, et quelqu'un dans l'entreprise doit s'en occuper. C'est un traitement, c'est (selon moi) une donnée médicale, donc ça tombe dedans. C'est sans doute pas ça en pratique, mais ç'est pour illustrer.
Plus prosaïquement, c'est peut être des histoires d'assurances ou de visites médicales, des trucs comme ça.
La CNIL ne reproche pas à Uber d'avoir l'info (en tout cas, l'amende ne porte pas sur ça). Et personne ne dit qu'il n'y avait pas le consentement des employés (même si le consentement ne peux pas trop être utilisé comme base de traitement (article 6 du RGPD) dans le cadre d'une relation de travail, car on suppose que l'employeur a plus de pouvoir que l'employé)
Juste d'avoir passé ça de Uber UE à Uber USA sans cadre réglementaire interne (article 47) ou externe (article 45).
Centraliser tes services de compta ou autre aux USA, c'est faire un transfert par exemple.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.