I- Le RGPD à charge : De la liberté de la preuve
« C’est une double première en France : la Ligue des droits de l’Homme (LDH) a décidé de lancer, pour le compte d’un collectif de chauffeurs émanant notamment du syndicat INV et avec le concours du cabinet d’avocats Metalaw, la première action de groupe de son histoire en matière de protection des données à caractère personnel et la première action de groupe contre Uber en France. »[1]

A- Un manquement au droit d’accès consacré par le RGPD :
Mandatée par plusieurs chauffeurs Uber, la Ligue française des Droits de l’Homme a saisi, le 12 Juin dernier la Commission Nationale Informatique et Libertés, d’une plainte à l’encontre de Uber, pour manquement au Règlement Général sur la Protection des Données à caractère personnel. Cette plainte a pour objectif de permettre aux chauffeurs Uber d’accéder à leurs informations personnelles.
Les chauffeurs Uber avaient en effet été empêchés d’exercer leur droit d’accès aux données d’utilisation de leurs comptes, ceci, malgré leurs demandes répétées.
Dans un premier temps, quand on écrit à l’adresse électronique du Data Protection Officer de Uber, la réponse est la suivante « cette adresse électronique ne permet pas de contacter directement le DPO ».
Ensuite, la plupart du temps, lorsqu’elles ne demeuraient pas sans réponses, les données transmises étaient inintelligibles et/ou incomplètes :« Une série d’obstacles est apparue dans l’exercice de leurs droits puisqu’ayant été effectuée directement auprès du délégué à la protection des données des sociétés Uber, cette demande a fait l’objet d’une réponse rédigée en langue anglaise ».
Dans sa plainte, La ligue des Droits de l’Homme « estime que les sociétés Uber B.V. et Uber Technologies Inc. (...) contreviennent à de multiples occasions, de façon volontaire et ce, envers un public très nombreux de chauffeurs (...) aux dispositions du RGPD et de la Loi Informatique et Libertés sur le territoire français ».
La « question de l'accès à ces données est importante car elles permettent de protéger leurs vies privées mais aussi servent à respecter leurs droits économiques et sociaux, qui sont bafoués par Uber ».
Le droit d’accès de la personne concernée est consacré par les articles 15 du RGPD et 39 de la Loi Informatique et Libertés. Lorsque les données de la personne concernée sont traitées par un responsable de traitement, elle a le droit, entre autres, d’obtenir de ce dernier des informations relatives aux finalités du traitement, les catégories de données à caractère personnel concernées, les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, dans la mesure du possible, la durée de conservation des données, l’existence du droit de demander au responsable du traitement la rectification ou l’effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s’opposer à ce traitement etc.

B- Un exercice de droit peut en cacher un autre :
Cette action des chauffeurs Uber visant le droit d’accès à leur données, droit consacré par le RGPD peut en cacher une autre.
En effet, l’objectif caché de ces derniers serait implicitement l’établissement ou plutôt la reconnaissance du statut de travailleur pour les chauffeurs d’Uber.
Le Tribunal du Travail de Londres, dans une espèce en date du 28 Octobre 2016 (Y Aslam, J. Farrar, c/ Uber BC, Uber London Ltd, Uber Britania Ltd) a posé les jalons d’une telle reconnaissance. Les données de connexion avaient d’ores et déjà joué un rôle non négligeable dans cette décision.
L’arrêt Take Eat Easy (Chambre Sociale, 28 novembre 2018, 17-20.079) a confirmé ce mouvement. Les juges ont notamment affirmé en l’espèce que « l’application –Uber- était dotée d’un système de géolocalisation permettant le suivi en temps réel par la société de la position du coursier et la comptabilisation du nombre total de kilomètres parcourus par celui-ci et , d’autre part, que la société « Take Eat Easy » disposait d’un pouvoir de sanction à l’égard du coursier, la cour d’appel qui n’a pas tiré les conséquences légales de ses constatations dont il résultait l’existence d’un pouvoir de direction et de contrôle de l’exécution de la prestation caractérisant un lien de subordination, a violé le texte susvisé ». Cette formulation n’est pas sans rappeler celle de l’arrêt Uber London Ltd.
Les juges avaient caractérisé en l’espèce l’existence d’un lien de subordination, de par la présence d’un système de géolocalisation dans l’application Take Eat Easy, permettant le suivi en temps réel des livreurs et le pouvoir de subordination détenu (et exercé) par la plateforme numérique.

La deuxième espèce qui a retenu notre attention opère une utilisation en « sens inverse » du RGPD. Elle fera l’objet du deuxième volet de nos propos.