Ce site est une archive.
Il reflète uniquement l'activité des sénateurs sur la période d'octobre 2004 à mars 2023.
Intervention de Éric Delisle
Mission d'information Uberisation — Réunion du 7 septembre 2021 à 10h00
Audition de M. éric delIsle chef du service des questions sociales et rh à la cnil et de M. Nicolas Kanhonou et Mme Sarah Benichou directeur et adjointe chargés de la promotion de l'égalité et de l'accès au droit auprès de la défenseure des droits
Permettez-moi de présenter le cadre juridique en vigueur pour le traitement de ces données, autour notamment du RGPD. En la matière, l'article 1er de la loi Informatique et Libertés est fondateur : « L'informatique doit être au service de chaque citoyen. [...] Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » Cette loi de 1978 continue de présenter des garanties visant à encadrer le traitement des données à caractère personnel.
Le RGPD n'a pas vocation à se substituer au droit du travail, mais à offrir des garanties à l'ensemble des personnes physiques, qu'elles soient ou non des travailleurs. On oppose souvent à tort données personnelles et professionnelles : dès lors que les données sont en lien avec une personne physique, même dans la sphère professionnelle, elles sont personnelles. Les algorithmes se nourrissent de nombreuses données relatives à des individus : l'ensemble du socle du RGPD trouve donc à s'appliquer.
Plusieurs grands principes inspirent les dispositions du RGPD, notamment le principe de finalité de tout traitement de données, le principe de minimisation des données collectées, ou encore le principe de base légale et le principe de durée de conservation limitée.
Surtout, les responsables du traitement de données sont soumis à une obligation de transparence à l'égard des personnes dont ils traitent les données. Cette obligation est au coeur de la réglementation : les personnes doivent être pleinement conscientes des traitements, algorithmiques ou non, mis en oeuvre sur leur compte.
Enfin, l'article 22 du RGPD encadre précisément les traitements entièrement automatisés aboutissant à une prise de décision sans intervention humaine. Le principe est l'interdiction de ces traitements, mais il est assorti de certaines exceptions : un tel traitement peut ainsi être autorisé dès lors qu'il est nécessaire à la conclusion d'un contrat, ou fondé sur le consentement de la personne. Cependant, le RGPD offre des garanties même dans les cas couverts par ces exceptions, comme nous avons eu l'occasion de le rappeler au sujet de Parcoursup. Pour les traitements entièrement automatisés, les droits offerts à la personne par l'article 22 ont été rappelés : transparence, droit d'obtenir une intervention humaine, etc. Ces garanties sont offertes à toutes les personnes, clients ou travailleurs.
