Item talk:Q101/francais
Bonjour, Je m'adresse à vous en espérant que vous allez directement relayer mon message auprèss du Responsable de la Protection des Données d'Uber, Simon Hania, comme anticipé par le Règlement Général sur la Protection des Données européen. En effet, je conduis pour Uber et cherche à obtenir une copie de mes données personnelles. La page https://help.uber.com/fr-CA/driving-and-delivering/article/demander-vos-donn%C3%A9es-personnelles-uber?nodeId=fbf08e68-65ba-456b-9bc6-1369eb9d2c44 m'informe que mes données sont accessibles via le tableau de bord partenaire. Cependant, comme décrit à https://forum.personaldata.io/t/transparence-sur-les-donnees-personnelles-chez-uber/307 la transparence offerte n'est pas suffisante à mon goût. Votre page d'information m'invite à contacter le Responsable dans ce cas, ce que je fais maintenant. Je cherche donc par la présente à exercer mes droits prévus par le RGPD. Ceci inclut mon droit d'accès (Art 15), mon droit à la portabilité (Art 20). Je vous rappelle que tout violation des dispositions concernant les droits des personnes (Art 12 à 22) peuvent faire l'objet - en vertu de l'Article 83 - d'amendes administratives pouvant s'élever jusqu'à 20 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.
Copie de mes données personnelles
=====================
Cette requête couvre toutes mes données personnelles, et en particulier celles concernant: - ma géolocalisation (y compris les empreintes temporelles associées, et les données d'accéléromètre); - mes revenus; - les interactions partenaires; - les interactions clients à mon propos, dont commentaires et notes; - les “expériences” que Uber a mis en place et dont j'étais sujet; - les contrats, chartes et règles d'utilisation pour lesquels j'ai marqué mon accord, sous leurs différentes versions, et dates associées; - les notifications par email ou "push" qui m'ont été envoyées, ainsi que mes interactions avec celles-ci; - les offres qui m'ont été envoyées, ainsi que mes interactions avec celles-ci; - toute cote de performance, délivrée par Uber ou des clients, jointement ou séparément; - mon téléphone (y compris: niveau de batterie, système d'exploitation, adresse IP, etc); - mon véhicule; - mon accueil comme partneraire Uber; - le dispatching et matching des courses pour lesquelles j'ai été retenu; - les courses que j'ai effectuées; - les tickets internes Zendesk du service partenaires me concernant moi ou mes courses; - les tickets internes Zendesk du service clients me concernant moi ou mes courses; - les "tags" des services clients et partenaires me concernant moi ou mes courses; - discussions internes à mon propos; - toute déconnection, temporaire ou permanente; - mes documents d'identité, d'assurances, de validation, etc, y compris ce qui en a été extrait automatiquement; - toute donnée de profilage; - la géolocalisation, les empreintes temporelles et les données d'accéléromètre du téléphone des clients lorsque nous nous trouvions simultanément dans mon véhicule.
Article 20
Pour les données tombant sous le coup du droit à la portabilité (RGPD Article 20), ce qui inclut toutes les données fournies par moi (Article 29 Working Party, *Guidelines on the Right to Data Portability (WP 242)*, 13 Décembre 2016, version française) et où la base juridique de traitement est le consentement ou le contrat, je souhaite:
- **recevoir ces données dans un format structuré, couramment utilisé et lisible par machine** - accompagné avec un **description intelligible de toutes les variables**
Article 15
Pour les données tombant sous le coup du droit d'accès (RGPD Article 15), je voudrais **qu'une copie me soit envoyée dans un format électronique**. Veuillez noter que les données qui vous sont disponibles dans un format lisible par une machine doivent m'être fournies sous cette forme aussi, au vu des principes de loyauté (RGPD Article 5.1.a) et de protection des données dès la conception.
Veuillez noter que toute opinion, déduction, préférence etc sont considérées comme des données personnelles (voir le Cas C‑434/16 *Peter Nowak v Data Protection Commissioner* [2017] ECLI:EU:C:2017:994, 34.)
J'ai bien conscience que certaines des données que je demande concernent aussi des clients ou des employés de Uber. Je vous rappelle que dans ce cas il incombe à Uber de mettre en place des mesures pour protéger les droits de ces personnes, mais que cet argument ne peut être utilisé pour me refuser l'accès total à mes données. Pour des données de senseurs des appareils des clients lorsque ceux-ci se trouvent dans ma voiture par exemple, vous pourriez introduire un léger bruit dans les données pour masquer toute caractéristique individuelle de l'appareil.
Si vous me considérez comme responsable du traitement
De plus, si vous me considérez comme responsable du traitement de certaines de ces données et que vous agisseriez alors comme sous-traitant, veuillez me fournir alors toutes les donnéess que vous traitez en mon nom dans un format lisible par une machine, en accord avec votre obligation de respecter ma volonté sur les moyens et finalités du traitement.
Métadonnées sur le traitement
=================
Cette requête concerne aussi les métadonnées du traitement auxquelles j'ai droit suivant le RGPD.
Information sur les responsables du traitement, sous-traitants, sources et transferts
Je voudrais de plus connaître - L'identité de tous les responsables conjoints du traitement, ainsi que grandes lignes de vos accords avec eux (RGPD Article 26). - Tout **destinataire à qui vous avez révélé des données**, nommées et avec leurs informations de contact en vertu de l'Article 15(1)(c). Veuillez noter que les régulateurs européens ont affirmé que par défaut les responsables de traitement doivent nommer les destinataires et pas les "catégories" de destinataires. Ils affirment de plus: "Si les responsables du traitement choisissent de communiquer les catégories de destinataires, les informations devraient être les plus spécifiques possible et indiquer le type de destinataire (en fonction des activités qu’il mène), l’industrie, le secteur et le sous-secteur ainsi que l’emplacement destinataires." (Article 29 Working Party, ‘Guidelines on Transparency under Regulation 2016/679’ WP260 rev.01, 11 April 2018 ) Ils affirment de plus que la notion de "destinataire" est plus large que celle de "tiers", et inclut "les autres responsables du traitement, responsables conjoints du traitement et sous-traitants auxquels les données sont transférées ou communiquée". L'article 4 paragraphe 9 définit de plus les destinataires comme incluant toute autorité publique. Veuillez noter de plus que pour toute donnée transférée sur base du consentement, on ne peut nommer simplement la catégorie sans invalider la base juridique (Article 29 Working Party, ‘Guidelines on Consent under Regulation 2016/679’ (WP259 rev.01, 10 April 2018) 13). - Si tout donnée n'a pas été collectée, observée ou déduite de moi directement, je voudrais de plus obtenir des informations précises sur la **source de cette donnée**, y compris le nom et l'adresse email de contact du responsable de traitement ("from which source the personal data originate", Article 14(2)(f)/15(1)(g)). - Veuilez de plus confirmer où mes données personnelles (y compris les backups) sont stockées, et au moins si elles ont quitté l'Union Européenne (et si oui, veuillez me fournir les détails des bases légales et protections pour de tels transferts).
Information sur les finalités et les bases juridiques
- Toutes les **finalités de traitement et les bases juridiques pour ces finalités par catégorie de donnée personnelle** Cette liste doit être fournie par finalité, base juridique détaillée par finalité, et catégorie de données détaillée par finalité et base juridique. Des listes séparées sans alignement entre ces trois facteurs ne seraient pas acceptables (Article 29 Working Party, ‘Guidelines on Transparency under Regulation 2016/679’ (WP260 rev.01, 11 April 2018), page 35.). Il se peut qu'une table soit la meilleure manière de fournir cette information.
- Les intérêts légitimes détaillés là où cette base juridique est utilisée (Article 14(2)(b)).
Information sur les prises de décision automatisées
- Veuillez confirmer si vous avez recours ou pas à des prises de décisions automatisées (au sens de l'Article 22, RGPD). Si la réponse est oui, veuillez fournir des informations utiles sur la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour moi (Article 15(1)(h))
Information sur la conservation
- Veuillez me confirmer pendant combien de temps chaque catégorie de données est conservée, ainsi que les critères utilisés pour prendre cette décision, en accord avec le principe de limitation de la conservation, et l'Article 15(1)(d).
Je me réjouis de recevoir votre réponse dans le mois.