L’autorité italienne de protection des données (GPDP) a sanctionné la société FOODINHO[1], le 10 juin 2021, pour ne pas avoir traité les données à caractère personnel de ses livreurs conformément aux exigences du RGPD.

La société FOODINHO, à l’instar des sociétés Uber ou Deliveroo, fait appel à des livreurs indépendants pour livrer des repas et d’autres petits objets à ses clients qui en font la commande.

Avant d’effectuer des livraisons, ces livreurs, au nombre de 18 684 au moment du contrôle, signent un contrat de travail qui contient une note d’informations expliquant la façon dont leurs données à caractère personnel seront traitées. Le contenu de cette note n’a cependant pas pu être établi avec certitude par la Commission italienne, car la société a produit plusieurs documents « dont le contenu est partiellement différent ».

La Commission, ayant de forts soupçons sur la véracité des documents produits par la société, a même alerté l’entreprise que la déclaration de fausses informations et la production de faux documents étaient répréhensibles par la loi.

En tout état de cause, les documents produits par la société n’ont pas été jugés conformes car :

  • le détail des traitements manquait de transparence[2] ;
  • les durées de conservation des données étaient parfois imprécises, parfois inexactes[3] ;
  • l’existence de prises de décisions automatisées n’était pas précisée[4], tout comme le détail du fonctionnement des algorithmes[5] ;
  • les coordonnées du délégué à la protection des données (DPO) n’étaient pas précisées[6] ;

De manière générale, la Commission a également indiqué que les documents produits par la société ne fournissaient pas des informations claires et étaient « caractérisés par la désorganisation, l’imprécision et le flou ».

Par ailleurs, la Commission reproche aussi à la société :

  • la durée de conservation des données personnelles, car de nombreuses données étaient conservées, indépendamment de leurs finalités, pendant une durée commune[7] ;
  • l’accès des employés de la société aux données personnelles de tous les livreurs[8] ;
  • l’absence d’analyse d’impact relative à la protection des données des livreurs[9] ;
  • l’absence de mesures permettant de protéger les livreurs des conséquences des décisions automatisées des algorithmes de la société[10] ;
  • l’absence de déclaration des coordonnées du DPO de la société[11] ;
  • le manque d’informations du registre des activités de traitement[12].

Enfin, la Commission reproche à la société de ne pas avoir appliqué des dispositions de la loi nationale italienne liée à l’utilisation d’outils technologiques pour contrôler le travail effectués par les livreurs.

Une amende de 2,6 millions € a été prononcée contre la société, ce qui représenterait 0,72 % de son chiffre d’affaires[13]. La société doit également se mettre en conformité dans un délai sous 60 jours.

Lire :

Note : la nouvelle note d’informations de la société indique l’existence d’un processus d’authentification biométrique par reconnaissance faciale et précise que les données issues de ce processus sont transmises à un fournisseur externe américain. La Commission n’a pas jugé la licéité de ce traitement et a indiqué qu’il pouvait faire l’objet d’un contrôle séparé ultérieur.

Notes et références

  1. La société FOODINHO est détenue à 100% par la société espagnole GlovoApp23.
  2. Le RGPD demande que les données à caractère personnel soient traitées « de manière licite, loyale et transparente au regard de la personne concernée » (source : RGPD, article 5-1-a). Les informations communiquées par la société aux livreurs n’ont pas été jugées transparentes, car elles étaient trop génériques. La société se contentait, par exemple, d’indiquer qu’elle « peut recevoir des informations concernant la position géographique des livreurs », alors que la position des livreurs était collectée toutes les 15 secondes.
  3. Le RGPD demande de communiquer « la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée » (source : RGPD, article 13-2-a). Les informations communiquées par la société aux livreurs ne permettaient pas de connaître la durée de conservation ou les critères utilisés, car il était indiqué que « les données sont traitées uniquement pendant la durée strictement nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées et, en tout état de cause, pas au-delà de la fin de la relation de travail », ce que la Commission a jugé générique et inexacte au vu des constatations réalisées. Voir « Quelles informations communiquer lorsque des données à caractère personnel sont traitées ? ».
  4. Le RGPD demande d’indiquer « l’existence d’une prise de décision automatisée » (source : RGPD, article 13-2-f). Les informations communiquées par la société aux livreurs ne précisaient pas l’existence de traitements automatisés, alors que la société utilisait des algorithmes pour attribuer des notes aux livreurs et de prioriser certains livreurs dans le choix des créneaux horaires. Voir « Quelles informations communiquer lorsque des données à caractère personnel sont traitées ? ».
  5. Lorque le traitement des données implique une prise de décision automatisée, le RGPD demande d’indiquer « des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée » (source : RGPD, article 13-2-f). Les informations communiquées par la société aux livreurs ne contenaient cependant aucune précision sur le fonctionnement de l’algorithme utilisé pour noter les livreurs. Voir « Quelles informations communiquer lorsque des données à caractère personnel sont traitées ? ».
  6. Le RGPD demande d’indiquer « les coordonnées du délégué à la protection des données » (source : RGPD, article 13-1-b), lorsqu’une telle personne a été nommée au sein de l’organisation. La société avait bien nommé un DPO, mais ne communiquait pas ses coordonnées. Voir « Quelles informations communiquer lorsque des données à caractère personnel sont traitées ? ».
  7. Le RGPD demande de conserver les données « pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées » (source : RGPD, article 5-1-e). La société conservait cependant de nombreuses données, pour des finalités différentes, pendant toute la durée du contrat du livreur puis quatre ans après la fin du contrat. Voir « Combien de temps peut-on conserver des données à caractère personnel ? ».
  8. Le RGPD demande de prendre des mesures pour restreindre l’accès aux données personnelles (source : RGPD, article 25). Les logiciels utilisés en interne par la société n’imposaient aucune restriction et permettaient à 600 employés de consulter les données (commandes, courriels, chats, positions GPS) de tous livreurs. Voir « Quels sont les risques à ne pas restreindre les droits d’accès d’un compte ? ».
  9. Le RGPD demande qu’une analyse d’impact soit réalisée « lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques » (source : RGPD, article 35-1). La société n’a pas jugé nécessaire de réaliser une telle analyse, ce que la Commission a contesté, étant donné la présence d’un profilage automatisé des livreurs. Voir « Faut-il réaliser une analyse d’impact avant de traiter des données personnelles ? ».
  10. Lorsque des décisions automatisées sont prises par des algorithmes, le RGPD demande de mettre en œuvre « des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée, au moins du droit de la personne concernée d’obtenir une intervention humaine de la part du responsable du traitement, d’exprimer son point de vue et de contester la décision » (source : RGPD, article 22-3). La société utilisait des algorithmes pour noter les livreurs et leur permettre de sélectionner des créneaux horaires, mais ne prenait aucune mesure par ailleurs pour limiter les éventuels risques liés à ces décisions automatisées.
  11. Lorsqu’un Délégué à la Protection des Données est nommé, le RGPD demande que ses coordonnées soient communiquées à l’autorité de contrôle (source : RGPD, article 37-7). La société avait nommé un DPO mais avait communiqué ses coordonnées uniquement le 01/07/2020, c’est-à-dire pendant la procédure de contrôle. Voir « Faut-il déclarer le Délégué à la Protection des Données ? ».
  12. Le RGPD demande, dans certains cas, de tenir un registre détaillant les activités réalisées sur les données à caractère personnel (source : RGPD article 30). La société avait réalisé un tel registre, mais les informations contenues dans ce document étaient incomplètes ou imprécises, à l’image des informations communiquées aux livreurs.
  13. Le chiffre d’affaires de la société GlovoApp23, maison mère de Foodinho, semble être de 360 millions €. La société a, par ailleurs, levé un total $1,2 milliards de fonds selon CRUNCHBASE.

Sigles et acronymes

  • RGPD : Règlement Général sur la Protection des Données
  • DPO : Data Protection Officer