Le Garante della Privacy italien a récemment infligé une amende de 5 millions d’euros à Foodinho srl, une filiale du groupe Glovo, pour avoir enfreint le Règlement général sur la protection des données (RGPD). L’entreprise est accusée de plusieurs manquements graves dans le traitement des données personnelles de ses livreurs, révélant un manque de transparence et de respect des droits des travailleurs.
Une enquête déclenchée par un tragique accident
L’enquête a été déclenchée suite au décès d’un livreur dans un accident de la route en 2022, ainsi qu’à des signalements d’experts en informatique concernant le traitement des données des livreurs par Foodinho. Il s’avère que l’entreprise avait déjà été sanctionnée en 2021 pour des faits similaires, notamment en ce qui concerne l’utilisation d’algorithmes pour la gestion des travailleurs.
Des violations multiples et sérieuses du RGPD
Le Garante a identifié plusieurs violations du RGPD par Foodinho, comme, en particulier :
• Des manquements aux principes de licéité, loyauté et transparence du traitement des données : L’entreprise envoyait automatiquement des messages standardisés aux livreurs en cas de changement de statut de leur compte, y compris en cas de désactivation, sans fournir d’explications claires ni d’informations sur les possibilités de recours. Ainsi, le livreur tragiquement décédé en 2022 avait reçu, après son décès, un courriel automatique l’informant de la désactivation de son compte pour violation des Conditions Générales d’utilisation de la plateforme.
De plus, les informations fournies aux livreurs sur le traitement de leurs données étaient incomplètes, peu claires et dispersées dans différents documents, en violation du principe de transparence.
• La violation du principe de « Privacy by design » : Le système de traitement des données de Foodinho n’a pas été conçu de manière à intégrer la protection des données dès le départ, comme l’exige le RGPD. En conséquence, le système n’était pas conforme à la réalité du traitement des données et ne permettait pas aux livreurs de conserver le contrôle de leurs données personnelles.
Le Garante a précisé que le nombre élevé de livreurs et le recours à la « standardisation » des communications automatiques ne pouvaient justifier l’absence de messages différenciés et complets, incluant des informations sur les recours des livreurs en cas de changement automatique de leur statut.
• Un algorithme potentiellement discriminatoire : L’algorithme utilisé par Foodinho pour attribuer les commandes aux livreurs est basé sur des critères tels que les évaluations des clients, qui peuvent être subjectives et potentiellement discriminatoires. Le Garante indique que ce système utilise des paramètres en lien avec la performance des livreurs, susceptibles de discriminer les livreurs en fonction de leur âge, de leur genre et de leurs conditions de santé. De plus, l’entreprise n’a pas fourni d’informations suffisantes sur le fonctionnement de cet algorithme et les mesures de contrôle mises en place.
• L’utilisation abusive des données biométriques des livreurs : Foodinho utilisait la reconnaissance faciale pour authentifier les livreurs, ce qui constitue un traitement de données biométriques illégal en l’absence de base juridique appropriée. La reconnaissance faciale ne constituait pas non plus une mesure efficace pour empêcher les échanges de compte, objectif pourtant revendiqué par l’entreprise.
• Un système de notation des livreurs non pertinent : Le système de notation des livreurs utilisé par Foodinho, basé sur des critères de calcul qui n’étaient pas appliqués en Italie, a été jugé non pertinent et excessif.
• Des manquements en matière de sécurité des données : Foodinho n’a pas mis en place les mesures techniques et organisationnelles nécessaires pour assurer un niveau de sécurité approprié aux risques liés au traitement des données.
• Le manquement à l’obligation de réaliser une analyse d’impact : L’analyse d’impact réalisée par Foodinho n’avait pas pris en compte de manière adéquate les risques liés au traitement automatisé des données.
• La désignation des livreurs comme sous-traitants de données : Foodhino, en qualité de responsable du traitement des données des clients, c’est-à-dire la personne déterminant les finalités et les moyens du traitement, a désigné les livreurs comme sous-traitants de données. Un sous-traitant de données traite les données pour le compte du responsable de traitement, qui doit donc s’assurer que le sous-traitant garantisse un traitement licite des données. Or, en l’espèce, le Garante a considéré que le responsable du traitement avait désigné les livreurs comme sous-traitants, alors qu’il était évident que les livreurs ne possèdent pas les caractéristiques nécessaires pour exécuter les tâches qui leur sont confiées de manière conforme au RGPD.
Sanction et portée de la décision
Après une première sanction en 2021 de 2,6 millions d’euros, le Garante a, cette fois-ci, condamné Foodhino à une amende de 5 millions d’euros. L’autorité de contrôle a également ordonné à l’entreprise de mettre en conformité ses pratiques de traitement de données dans un délai déterminé. Cette décision constitue un signal fort de la part de l’autorité italienne en matière de protection des données et rappelle aux entreprises l’importance de respecter le RGPD, en particulier dans le secteur de la livraison de repas, où les données personnelles des travailleurs sont massivement traitées.
Cette décision intervient alors que l’Union européenne a récemment publié une directive (2024/2831) relative à l’amélioration des conditions de travail dans le cadre du travail via une plateforme, qui aborde notamment la question de l’utilisation des algorithmes sur le lieu de travail. Elle pourrait ainsi avoir un impact significatif sur les pratiques des plateformes de livraison de repas et au-delà, en renforçant la protection des droits des travailleurs et en encadrant l’utilisation des technologies dans le monde du travail.
Lola Garnier
Sur le même sujet
L'annuaire 
L'agenda 
Les annonces 
