Rapport Géré par des robots | Worker Info Exchange

Worker Info Exchange a été mis en place pour faciliter l'accès et la collectivisation des données afin de renforcer le pouvoir de négociation grâce à l'établissement d'une confiance dans les données.

C'était en réponse au développement de nouvelles pratiques de gestion algorithmique créant de profondes asymétries informationnelles et une exploitation des travailleurs.
Worker Info Exchange vise à aborder la convergence des données et des droits du travail en invoquant les droits des articles 15, 20 et 22 du RGPD dans les contextes d'emploi.
Cet objectif est gravement entravé par la non-conformité généralisée au RGPD dans l'industrie des concerts.
Au cours des huit derniers mois, nous avons effectué plus de 500 demandes d'accès à des personnes concernées auprès de sept plateformes de covoiturage différentes, notamment Amazon Flex, Bolt, Deliveroo, Free Now, Just Eat, Ola et Uber.
L'accès aux données est contesté par les entreprises qui déploient des modèles sombres et abusent délibérément de la mise en œuvre inégale du RGPD, ce qui pousse les travailleurs à résoudre les problèmes devant les tribunaux.
La collecte de données par les plateformes de concerts est excessive et conduit à une surveillance disproportionnée et irresponsable des travailleurs, ainsi qu'à une infrastructure d'application de la loi en expansion.
Il n'y a aucune transparence sur les systèmes de gestion algorithmique qui sont utilisés. Les récits de l'entreprise sur les technologies utilisées et comment sont incohérents et peu fiables.

Summary

Introduction

introduction

L'année écoulée a marqué un tournant pour les travailleurs des plateformes de concerts dans la réalisation de leurs droits en matière d'emploi et numériques. La pratique du travail par médiation numérique a conduit à une convergence des droits en matière d'emploi et de protection des données et l'augmentation des litiges et des activités de plaidoyer par les travailleurs a donné des résultats dans ces domaines. Partout en Europe, les tribunaux ont rendu plusieurs jugements importants reconnaissant le rôle d'exploitation des pratiques de gestion algorithmique par les plateformes de concerts tout en condamnant le manque d'équité et de transparence de ces systèmes automatisés.

En Italie, le tribunal de Bologne a jugé que le système de notation de Deliveroo était discriminatoire à l'égard des travailleurs tandis que l'autorité de protection des données, Garante, a infligé deux amendes GDPR à Deliveroo et Glovo en raison de leur incapacité à divulguer de manière adéquate le fonctionnement de leurs algorithmes d'attribution des tâches et de gestion des performances.

L'Espagne a adopté la première législation pour tenter de réglementer l'IA dans le domaine de l'emploi, établissant à la fois le statut de travailleur pour les travailleurs sur scène et le droit d'être informé des règles et des paramètres des algorithmes auxquels ils sont soumis, déclenchant un torrent de plaintes. Cela résultait d'une autre affaire judiciaire contre Glovo qui s'est terminée devant la Cour suprême espagnole.

Parallèlement à ces décisions très médiatisées, la Cour suprême du Royaume-Uni a également conclu cette année que les chauffeurs d'Uber faisaient partie d'un service de transport « très étroitement défini et contrôlé par Uber » trahissant une relation de travail claire, qui, selon l'entreprise, n'existait pas dans ses efforts pour (mal) classer les travailleurs en tant qu'entrepreneurs indépendants. De manière significative, la preuve de cette relation provient des systèmes basés sur les données que les plateformes de covoiturage utilisent pour gérer leurs effectifs. Certains des problèmes mis en évidence par la Cour suprême du Royaume-Uni concernaient la gestion des conducteurs via le suivi algorithmique des taux d'acceptation des emplois, des choix d'itinéraires, du comportement de conduite et des évaluations des clients. Cependant, même s'il y a une plus grande reconnaissance de la gestion algorithmique, les gains récents dans les tribunaux ne protègent pas pleinement les travailleurs contre ses méfaits. Le statut de travailleur du membre (b) accordé aux chauffeurs Uber à la suite de la décision de la Cour suprême est un statut intermédiaire entre l'entrepreneur et l' employé , et ne parvient toujours pas à les protéger des licenciements abusifs, par exemple.

Notre expérience suggère que ces outils de gestion algorithmiques, auxquels s'ajoutent des pratiques de surveillance intensifiées, examinant en permanence les travailleurs à la recherche de fraudes ou d'actes répréhensibles potentiels, créent un environnement de travail profondément exploité. Nous assistons à un nombre démesuré de licenciements automatisés dans l'ensemble de l'industrie des concerts, dont beaucoup sont, selon nous, illégaux conformément à l' article 22 du règlement général sur la protection des données (RGPD) . L'article 22 offre aux travailleurs certaines protections limitées contre les effets néfastes de la prise de décision automatisée et du profilage, grâce au droit d'obtenir une intervention humaine et de contester la décision. L'article 15 du RGPD garantit le droit d'être informé de l'existence d'une telle prise de décision automatisée et de recevoir des informations significatives sur la logique du traitement.

Sur la base de ces droits, Worker Info Exchange a été mis en place avec pour mission d'aider les travailleurs du concert à naviguer dans cet espace complexe et sous-régulé. L'objectif et la mission de notre travail sont de tester si ces instruments GDPR peuvent être utilisés pour lutter contre les pratiques d'emploi déloyales et étendre la portée des données mises à la disposition des individus en leur qualité de travailleurs. En d'autres termes, notre ambition est d'utiliser l'accès aux données comme méthode de renforcement du pouvoir collectif des travailleurs pour tester les mécanismes de recours dans un marché du travail à médiation numérique.

Lorsque la relation de travail entre la plate-forme de concert et le travailleur est exécutée par le biais d'une collecte et d'une analyse approfondies des données, les droits du travail deviennent inextricablement liés à l'exercice des droits sur les données. Les plateformes de concerts assurent le contrôle des travailleurs en maintenant une asymétrie informationnelle, et l'accès aux données peut fournir un moyen d'exposer le (dés)équilibre de pouvoir généré par le fossé informationnel entre les plateformes de concerts et leurs travailleurs. L'accès aux données personnelles peut permettre aux travailleurs de faire des évaluations indépendantes de leurs conditions de travail et de répondre à des questions concernant leurs calculs de rémunération, la qualité et la quantité de travail offert, ainsi que de contester les motifs d'une mauvaise gestion des performances, y compris la suspension et congédiement.

Notre objectif en facilitant l'accès aux données est de créer des réserves collectives de données pour développer une meilleure compréhension des conditions de travail et, par conséquent, du pouvoir de négociation. Ces dernières années, un certain nombre d'initiatives remarquables ont vu le jour, fonctionnant avec des objectifs similaires mais utilisant des méthodologies différentes pour récupérer les données. Certains projets dans ce domaine gèrent leur propre collecte de données et analyses sur les revenus et les performances pour évaluer l'équité des conditions de travail (par exemple, Driver's Seat Coop et WeClock, entre autres.) Ceux-ci présentent tous des informations uniques sur l'économie des petits boulots et devraient être considérés comme constituant un continuum de pratique des données. Nous avons abordé ce problème en exigeant que les plateformes partagent les données auxquelles les travailleurs ont légalement droit, mais cela a introduit des obstacles supplémentaires à l'objectif plus large de collecte des données. Nous avons choisi cette voie parce que nous souhaitions établir des normes et des précédents dans le droit de la protection des données, mais aussi parce que nous pensons qu'il existe certains types d'informations qui ne peuvent être obtenus qu'en demandant les données directement aux plateformes.

Nous avons constaté, notamment dans le cas d'allégations d'activités irrégulières et de fraudes alimentées par la surveillance, qu'il est nécessaire de disposer des données détenues par les entreprises pour comprendre et contester les accusations. L'accès aux données peut nous aider à déceler les incohérences dans les récits avancés par les sociétés de plateformes et à déplacer la charge de la preuve des travailleurs vers les plateformes. De ce point de vue, l'effort d'exiger des données de plate-forme s'est avéré extrêmement efficace pour résoudre de nombreux conflits du travail. La simple démonstration du refus des plateformes de fournir des données personnelles a annulé plusieurs révocations de licence (appliquées par TfL) en justice et est ainsi devenue un outil supplémentaire dans l'exercice des droits du travail.

Ceci constitue l'autre branche d'activité de Worker Info Exchange ; comme nous sommes frustrés dans nos tentatives pour gagner en clarté et en transparence sur les systèmes complexes déterminant les conditions de travail, nous devons fréquemment recourir à des litiges et nous tourner vers les tribunaux pour obtenir des décisions dans le domaine émergent des droits du travail numériques. La «crise des données» artificielle que les plateformes de concerts ont créée est à bien des égards une tentative d'épuiser et d'épuiser les ressources des travailleurs précaires et des syndicats en attirant les litiges devant les tribunaux où ils peuvent être prolongés et la responsabilité pour faute professionnelle retardée.

En lien avec ces axes d'activité, ce rapport est rédigé en trois parties : La première section explore différentes facettes de la gestion algorithmique et ses méfaits, avec des études de cas associées. La deuxième section traite de notre processus d'utilisation des demandes d'accès aux personnes concernées (DSAR), tandis que la troisième offre un aperçu des cas liés au RGPD que nous avons traités à Amsterdam ainsi que des cas de licence que nous soutenons à Londres. Ce rapport conclut une période de travail portant sur ces fonctions de notre organisation, réalisée avec le soutien de la Fondation Mozilla, du Digital Freedom Fund et des Open Society Foundations. Nous espérons que ce rapport démontrera l'état actuel de l'exercice des droits à l'intersection des données et du travail et révélera les effets cumulatifs du non-respect répété des plateformes de concerts.

"Les entreprises de plates-formes opèrent dans un espace de non-droit où elles croient pouvoir établir les règles. Malheureusement, ce n'est pas un jeu ; les réalités virtuelles ont de graves conséquences pour les travailleurs des concerts dans la vie réelle. Ce qui est encourageant, c'est que les travailleurs eux-mêmes n'attendent pas les lois, les décideurs politiques ou même les alliés du mouvement des droits de l'homme pour les sauver. Les travailleurs du concert s'organisent et utilisent leur voix collective pour exiger de nouvelles protections adaptées à l'objectif d'une économie numérisée.

Bama Athreya, Fellow, Open Society Foundations

Part I Misclassification 2.0

Partie I : Mauvaise classification 2.0 Contrôlé par algorithme

Au cours de la bataille de six ans pour les droits des travailleurs dans l'économie des concerts au Royaume-Uni, Uber a fait valoir qu'il s'agissait simplement de l'agent du chauffeur indépendant ne faisant rien de plus que de réserver passivement des ordres de travail et de percevoir les paiements. Pour faire avancer cette fiction, les plateformes de concerts ont mis en place des contrats élaborés qui donnent l'impression que le conducteur et le passager traitent directement les uns avec les autres, alors qu'en fait toutes les informations sur les passagers sont étroitement protégées par les entreprises. Uber, par exemple, génère une facture fictive au nom du conducteur pour chaque passager qu'il transporte. La facture ne citera que le prénom du passager et n'est jamais réellement envoyée au client.

Ces techniques de classification erronée, couramment utilisées dans l'économie des petits boulots, permettent aux plateformes d'éviter les responsabilités légales des employeurs telles que les protections fondamentales des droits des travailleurs et les cotisations d'assurance nationale. Au Royaume-Uni, cela a également permis aux sociétés de plateformes d'éviter la taxe sur la valeur ajoutée (TVA). Mais plus tôt cette année, la Cour suprême a affirmé le droit des juridictions inférieures d'écarter les contrats artificiels et de déterminer la véritable nature de la relation de travail sur la base de la preuve d'une relation de gestion de contrôle sur les travailleurs.

Alors que les sociétés de plateforme concluent que l'utilisation de contrats trompeurs n'est plus viable comme méthode de classification erronée de l'emploi, elles seront tentées de doubler l'automatisation des processus pour dissimuler le contrôle de gestion. Le contrôle algorithmique devient une erreur de classification 2.0. En effet, il existe de nombreuses preuves que cela se produit déjà. Les plateformes de concerts sont plus déterminées que jamais à poursuivre des stratégies de classification erronée afin de pouvoir continuer à contrôler la main-d'œuvre tout en évitant le risque que les conducteurs passent du statut de « travailleur » avec des droits limités au statut d'employé avec beaucoup plus de droits.

Alors, qu'est-ce que le contrôle algorithmique et quels sont les risques spécifiques pour les travailleurs des concerts ? Dans les secteurs du covoiturage et de la livraison en particulier, les moyens de gestion algorithmique qui nous préoccupent le plus sont les suivants :

Surveillance. Surveillance intrusive dans le but déclaré de sécurité et d'identification. Cela englobe l'utilisation de technologies de détection des fraudes et de reconnaissance faciale. Nous sommes conscients que la surveillance est effectuée même lorsque le travailleur ne s'est pas connecté pour se rendre disponible pour le travail. Cela comprenait également la surveillance de l'utilisation de l'application par le travailleur en tant que consommateur.
Gestion des performances. Cela inclut, mais sans s'y limiter, la surveillance du comportement de conduite, y compris l'ETA, les évaluations des clients, les taux d'acceptation et d'achèvement des travaux, l'interaction avec le personnel d'assistance, la disponibilité.
Attribution du travail. Uber a jusqu'à très récemment insisté sur le fait que la répartition du travail est décidée en fonction de la proximité des conducteurs et des passagers les uns par rapport aux autres, mais admet maintenant que les comportements et préférences passés sont pris en compte. sont utilisés dans la prise de décision automatisée de répartition du travail.
Prix. La prise de décision automatisée en matière de tarification est étroitement liée à la répartition du travail. La méthode la plus connue est peut-être la « surge » ou la « tarification dynamique » d'Uber qui vise à clarifier la demande du marché avec des fluctuations de prix locales en temps réel.

Les décisions de gestion ci-dessus sont pour la plupart automatisées ou semi-automatisées avec une intervention humaine limitée. Les modèles commerciaux de l'économie des petits boulots reposent sur l'automatisation de masse des décisions de gestion et la supervision du lieu de travail. Alors que certains employeurs sont réticents sur ce point, Deliveroo l'a été assez franchement dans sa politique de confidentialité des cavaliers :

« Compte tenu du volume de livraisons que nous traitons, nous utilisons des systèmes automatisés pour prendre les décisions automatisées décrites ci-dessus, car ils fournissent un moyen plus précis, juste et efficace d'identifier les fraudes présumées, de prévenir les violations répétées de votre accord de fournisseur et de limiter l'impact négatif sur notre service. Les contrôles humains ne seraient tout simplement pas possibles dans les délais et compte tenu des volumes de livraisons que nous traitons. »

Gestion des performances

Cela inclut, mais sans s'y limiter, la surveillance du comportement de conduite, y compris l'ETA, les évaluations des clients, les taux d'acceptation et d'achèvement des travaux, l'interaction avec le personnel d'assistance, la disponibilité.

Tarification

La prise de décision automatisée en matière de tarification est étroitement liée à la répartition du travail. La méthode la plus connue est peut-être la soi-disant « surtension » ou « tarification dynamique » d'Uber, qui vise à répondre à la demande du marché avec des fluctuations de prix locales en temps réel.

Surveillance

Surveillance intrusive dans le but déclaré de sécurité et d'identification. Cela englobe l'utilisation de technologies de détection des fraudes et de reconnaissance faciale. Nous sommes conscients que la surveillance est effectuée même lorsque le travailleur ne s'est pas connecté pour se rendre disponible pour le travail. Cela comprenait également la surveillance de l'utilisation de l'application par le travailleur en tant que consommateur.

Répartition du travail

Uber a jusqu'à très récemment insisté sur le fait que la répartition du travail est décidée en fonction de la proximité des conducteurs et des passagers les uns par rapport aux autres, mais admet maintenant que le comportement et les préférences passés sont pris en compte. sont utilisés dans la prise de décision automatisée de répartition du travail.

Partie I : Mauvaise classification 2.0 Contrôlé par algorithme

Surveillance. Surveillance intrusive dans le but déclaré de sécurité et d'identification. Cela englobe l'utilisation de technologies de détection des fraudes et de reconnaissance faciale. Nous sommes conscients que la surveillance est effectuée même lorsque le travailleur ne s'est pas connecté pour se rendre disponible pour le travail. Cela comprenait également la surveillance de l'utilisation de l'application par le travailleur en tant que consommateur.
Gestion des performances. Cela inclut, mais sans s'y limiter, la surveillance du comportement de conduite, y compris l'ETA, les évaluations des clients, les taux d'acceptation et d'achèvement des travaux, l'interaction avec le personnel d'assistance, la disponibilité.
Attribution du travail. Uber a jusqu'à très récemment insisté sur le fait que la répartition du travail est décidée en fonction de la proximité des conducteurs et des passagers les uns par rapport aux autres, mais admet maintenant que les comportements et préférences passés sont pris en compte. sont utilisés dans la prise de décision automatisée de répartition du travail.
Prix. La prise de décision automatisée en matière de tarification est étroitement liée à la répartition du travail. La méthode la plus connue est peut-être la « surge » ou la « tarification dynamique » d'Uber qui vise à clarifier la demande du marché avec des fluctuations de prix locales en temps réel.

"Compte tenu du volume de livraisons que nous traitons, nous utilisons des systèmes automatisés pour prendre les décisions automatisées décrites ci-dessus, car ils fournissent un moyen plus précis, juste et efficace d'identifier les fraudes présumées, d'empêcher les violations répétées de votre accord de fournisseur et de limiter l'impact négatif sur notre service. Les contrôles humains ne seraient tout simplement pas possibles dans les délais et compte tenu des volumes de livraisons que nous traitons.

Surveillance

Surveillance intrusive dans le but déclaré de sécurité et d'identification. Cela englobe l'utilisation de technologies de détection des fraudes et de reconnaissance faciale. Nous sommes conscients que la surveillance est effectuée même lorsque le travailleur ne s'est pas connecté pour se rendre disponible pour le travail. Cela inclut également la surveillance de l'utilisation de l'application par le travailleur en tant que consommateur.

Répartition du travail

Uber a jusqu'à très récemment insisté sur le fait que l'attribution du travail est décidée en fonction de la proximité des chauffeurs et des passagers les uns par rapport aux autres, mais déclare maintenant que le comportement et les préférences passés sont pris en compte. Ola utilise des profils de chauffeur qui incluent des « scores de probabilité de fraude » dans la prise de décision automatisée pour le travail. allocation.

Gestion des performances

L'évaluation des performances au travail comprend, mais sans s'y limiter, la surveillance du comportement de conduite, y compris l'ETA, les évaluations des clients, les taux d'acceptation et d'achèvement des travaux, l'interaction avec le personnel d'assistance, la disponibilité.

Tarification

La fixation automatisée des prix est étroitement liée à la répartition du travail. La méthode la plus connue est peut-être la soi-disant « surtension » ou « tarification dynamique » d'Uber, qui vise à répondre à la demande du marché avec des fluctuations de prix locales en temps réel.

Course aux armements de surveillance

Nous assistons à une course aux armements de surveillance dans l'économie des petits boulots depuis qu'Uber a introduit son soi-disant système d' identification en temps réel hybride en 2020. Juste un jour avant que Transport for London (TfL) n'annonce sa décision de refuser le renouvellement de leur licence en novembre 2019, Uber a proposé d'introduire ce système de surveillance qui intègre la reconnaissance faciale avec surveillance GPS.

C'était en réponse à la plainte de TfL selon laquelle 21 conducteurs avaient été détectés (sur 90 000 analysés sur plusieurs années) comme participant au partage de compte, ce qui permettait à des conducteurs potentiellement sans licence et non assurés d'offrir illégalement leurs services sur l'application. L'activité a été rendue possible en réinitialisant la position GPS de l'appareil en dehors du Royaume-Uni, où il est possible pour les conducteurs de télécharger leurs propres photos. Cet écart a été rapidement comblé par Uber et l'activité détectée était extrêmement faible par rapport à l'ampleur des opérations d'Uber. L'introduction de la technologie de reconnaissance faciale par l'industrie a été tout à fait disproportionnée par rapport au risque perçu. Néanmoins, l'exigence d'une identification en temps réel est devenue une condition du renouvellement de la licence d'Uber devant le tribunal de première instance de Westminster en septembre 2020.

Dans le cas d'Uber, la direction de la plate-forme et TfL n'ont pas veillé à ce que des garanties appropriées soient mises en place pour protéger les droits et libertés des conducteurs, bien que TfL ait examiné l'évaluation d'impact sur la protection des données pour la technologie en mars 2020. Nous avons fait un demande de liberté d'information à TfL d'avoir accès à la DPIA d'Uber pour les systèmes d'identification en temps réel, mais nous avons été refusés. Selon les rapports de TfL , 94% des conducteurs de véhicules de location privés (PHV) sont issus de minorités noires et ethniques et l'introduction de cette technologie, qui est bien connue pour ses faibles taux de précision au sein de ces groupes , s'est avérée désastreuse pour les travailleurs vulnérables déjà en emploi précaire.

Bolt a depuis annoncé qu'il investissait 150 millions d'euros dans des systèmes de détection anti-fraude des conducteurs d'IA, y compris la reconnaissance faciale. Deliveroo a annoncé qu'eux aussi introduiraient des contrôles d'identité par reconnaissance faciale. Ola Cabs a également déployé l' identification par reconnaissance faciale en tant que caractéristique de son système Guardian , intégrant l'apprentissage automatique qui, selon eux, leur permet « d'apprendre et d'évoluer en continu à partir de millions de points de données chaque jour, pour améliorer la signalisation des risques et la résolution instantanée ».

FreeNow, une coentreprise de Daimler et BMW, surveille également de près les conducteurs dans le cadre de leur programme de prévention de la fraude. En effet, les documents déposés par FreeNow auprès de la Haute Cour dans le cadre d'un examen judiciaire de la décision de TfL de leur accorder une licence à Londres, révélaient que TfL avait établi des rapports mensuels sur les licenciements de conducteurs pour diverses raisons (y compris « activités frauduleuses ») une condition de leur récent renouvellement de licence. Mais la description des données traitées à des fins de prévention de la fraude soulève plus de questions que la politique de confidentialité de FreeNow ne répond.

Dans ce document, Free Now déclare qu'ils utilisent un algorithme de « forêt aléatoire » pour produire un score de fraude qu'ils utilisent pour « prioriser les trajets expédiés en conséquence ». Cela garantit une expédition juste et minimisant les risques . Free Now a contesté leur utilisation de ce système de détection de fraude lorsque nous nous sommes renseignés à ce sujet en juin 2021, affirmant que cette section de la politique de confidentialité était obsolète (veuillez consulter l'étude de cas de l'entreprise dans la section II du rapport.) Cependant, la description de ce système est resté dans la politique, malgré une mise à jour effectuée en septembre 2021.

Ce qui est particulièrement préoccupant dans l'utilisation de ces systèmes, c'est qu'ils confondent gestion de la fraude et gestion de la performance. Le fait que de tels indicateurs de « fraude » soient utilisés comme variables pour l'attribution du travail et que les comportements qui les génèrent soient autorisés à se poursuivre sur la plate-forme démontre qu'il ne s'agit pas d'exemples de fraude pénale, mais de mécanismes de contrôle, qui évaluent les performances des travailleurs contre les mesures opaques fixées par les entreprises. Nous suggérons que toute terminologie de « fraude » utilisée dans ces contextes fonctionne également dans le cadre du jeu de classification erronée, conçu pour dissimuler la relation de travail.

Surveillance Arms Race

Étude de cas de surveillance I : Échec de la reconnaissance faciale

En avril 2020, Uber a introduit un système de vérification d'identité en temps réel (RTID) au Royaume-Uni qui utilise une combinaison comprenant la reconnaissance faciale et la vérification de l'emplacement pour authentifier l'identité d'un conducteur et tenter d'empêcher les conducteurs de partager l'accès à leur compte pour le travail.

Le système RTID intègre l'utilisation de l'API FACE de Microsoft, du logiciel de reconnaissance faciale et oblige les chauffeurs et les coursiers à prendre régulièrement des selfies en temps réel pour continuer à utiliser l'application Uber. La photo est ensuite comparée à la photo de profil du compte du conducteur (et dans certaines juridictions, à des bases de données publiques pour « empêcher l'emprunt d'identité ou pour vérifier l'identité des utilisateurs » .)

Pa Edrissa Manjang travaillait avec Uber depuis environ un an lorsqu'il a été désactivé en raison d'un échec de vérification de selfie. Bien que les chauffeurs et coursiers d'Uber fournissent régulièrement des selfies, ceux-ci ne sont pas stockés sur les téléphones des travailleurs et ils ne peuvent pas conserver les preuves de leurs soumissions. Pa n'a reçu aucun avertissement ni aucun problème jusqu'à son licenciement ; le système de vérification d'identité en temps réel semblait approuver toutes ses photographies avec une coche verte.

Après son licenciement, Pa a envoyé de nombreux messages à Uber pour rectifier le problème, demandant spécifiquement à un humain de revoir ses soumissions. Chaque fois que Pa s'est fait dire « nous n'avons pas été en mesure de confirmer que les photos fournies étaient bien de vous et, en raison des incohérences persistantes, nous avons pris la décision finale de mettre fin à notre partenariat avec vous ». Nous avons obtenu les selfies en question via une demande d'accès au sujet, qui a révélé que toutes les photos soumises par Pa étaient en fait de lui. Ce fut le premier cas où nous avons réussi à obtenir les selfies soumis par un coursier ou un chauffeur. On ne sait pas pourquoi cette demande a réussi alors que beaucoup avant elle a échoué.

Nous avons également écrit à Microsoft plus tôt dans l'année pour faire part de nos préoccupations concernant l'utilisation non réglementée de l'API FACE par Uber sur sa plate-forme. En réponse , Microsoft a souligné que toutes les parties impliquées dans le déploiement de telles technologies ont des responsabilités qui incluent : « intégrer un examen humain significatif pour détecter et résoudre les cas d'identification erronée ou d'autres défaillances » et « apporter un soutien aux personnes qui pensent que leurs résultats sont incorrects ; et identifier et traiter les fluctuations de précision dues à la variation des conditions ». Le cas de Pa démontre clairement que ces contrôles cruciaux n'ont pas été mis en œuvre dans le traitement des images RTID.

Pa porte maintenant plainte contre Uber pour contester son déploiement de reconnaissance faciale racialement discriminatoire, représenté par Bates Wells, avec le soutien de la Commission pour l'égalité et les droits de l'homme, l'App Drivers and Couriers Union et Worker Info Exchange.

INTÉGRER : la vidéo de Papa

Surveillance Case Study I: Facial Recognition

Étude de cas de surveillance II : Vérifications de la géolocalisation

Bien que l'utilisation de systèmes de reconnaissance faciale défectueux soit sans aucun doute problématique, nous avons également vu de nombreux conducteurs licenciés après de fausses accusations d'Uber selon lesquelles ils se livraient à un partage de compte frauduleux après que deux appareils aient été détectés par Uber à deux endroits en même temps. Dans tous les cas que nous avons analysés, nous avons constaté que le problème est lié au pilote ayant installé l'application sur deux appareils pour plus de commodité, mais avec un seul des appareils connecté pour le travail.

Juste avant 20 heures le 11 septembre 2020 et Aweso Mowlana travaillait pour Uber dans le sud de Londres. Il était un chauffeur classé 4,95 étoiles qui avait effectué plus de 11 500 trajets en plus de 5 ans en travaillant pour Uber. Aweso venait de déposer un passager près d'Elephant and Castle lorsqu'il s'est déconnecté pour une courte pause. Comme de nombreux pilotes, Aweso avait installé l'application sur un deuxième appareil qui était un iPhone. Ce soir-là, il avait quitté la maison de l'iPhone et travaillait avec son autre téléphone, un Samsung.

À 20 h 02, Aweso a tenté de se reconnecter à l'application Uber pour se rendre disponible pour son prochain emploi. Avant d'être autorisé à se reconnecter, il a été invité à fournir un selfie dans le cadre du contrôle d'identité en temps réel (RTID) d'Uber. Sa photo correspondait à la photo de référence d'Uber, il a donc terminé avec succès la procédure de connexion pour continuer son quart de travail. Mais à son insu, les systèmes Uber avaient détecté et/ou envoyé un ping à son deuxième téléphone. Son fils avait pris son deuxième téléphone par erreur et l'avait emporté avec lui chez sa petite amie à Uxbridge. Uber a déclaré plus tard avoir demandé un contrôle RTID à cet appareil à 20 h 03, mais à ce moment-là, Aweso était déjà en ligne dans le sud de Londres. Uber affirme que la réponse à la vérification d'identité a été envoyée depuis l'iPhone vers 23h55 ce soir-là.

Le lendemain, Uber l'a informé que son compte avait été "signalé pour activité d'application suspecte" et que son compte serait désormais suspendu le temps qu'"une équipe spécialisée l'examine". Quelque temps plus tard, Uber a définitivement licencié Aweso par SMS disant qu'ils avaient "trouvé des preuves indiquant une activité frauduleuse" sur son compte. Uber a ensuite allégué qu'il partageait l'accès à son compte et, ce faisant, avait enfreint les termes et conditions. Le mois suivant, Transport for London a immédiatement révoqué la licence d'Aweso au motif qu'il ne pouvait plus être jugé «apte et apte» à détenir une licence publique en raison de son licenciement d'Uber.

Worker Info Exchange a aidé Aweso à faire une demande d'accès par sujet et à analyser les données reçues. Un fichier appelé « Données détaillées de l'appareil D river » enregistre au moins une partie des données en streaming des appareils vers Uber en temps réel. La propre politique de confidentialité d' Uber indique que lorsqu'un appareil a l'application ouverte en arrière-plan ou au premier plan, même s'il n'est pas en ligne et prêt à accepter les tarifs. Dans plus d'une douzaine de cas où nous avons soutenu l'appel des conducteurs contre leurs révocations devant la Magistrates Court, chaque appel a été confirmé et TfL a reçu l'ordre de rétablir les permis. À partir de ce fichier, nous avons pu voir jusqu'à 230 lignes de données par minute enregistrées par Uber à partir d'appareils. Les données Uber collectées à partir des appareils d'Aweso sont incluses géolocalisation, niveau de batterie, vitesse, cap du parcours, numéro IMEI, etc.

Les données ont montré que l'appareil à Uxbridge n'avait jamais été connecté pour travailler ce jour-là, car un champ intitulé « driver_online » montrait l'iPhone comme « FALSE » à tout moment ce jour-là, y compris l'heure à laquelle il a été enregistré à Uxbridge. C'est la preuve que l'appareil n'était pas partagé pour travailler avec d'autres, comme le prétendent Uber et Transport for London. Uber n'a pas fourni l'accès aux données personnelles traitées dans les deux contrôles RTID, y compris les photos collectées. Les « données détaillées de l'appareil » n'indiquent aucune autre activité pour l'iPhone après 20 h 03 min 43 s. Nous n'avons vu aucune preuve de données d'activité de l'appareil à 23 h 55 lorsque Uber a déclaré avoir reçu une réponse au contrôle d'identité émis précédemment.

L'expérience de Pa et Aweso a été très répandue au cours de l'année écoulée et a constitué un volume important de dossiers traités par Worker Info Exchange et l'App Drivers & Couriers Union. À Londres, Transport for London avait tendance à révoquer immédiatement les permis des conducteurs qui auraient échoué aux contrôles RTID d'Uber malgré les problèmes évidents avec le système. Il existe souvent des explications raisonnables à l'utilisation de plusieurs appareils, qui sont automatiquement classées comme fraude. La propre politique de confidentialité d' Uber indique que lorsqu'un appareil a l'application ouverte en arrière-plan ou au premier plan, même s'il n'est pas en ligne et prêt à accepter les tarifs. Dans plus d'une douzaine de cas où nous avons soutenu l'appel des conducteurs contre leurs révocations devant la Magistrates Court, chaque appel a été confirmé et TfL a reçu l'ordre de rétablir les permis.

Worker Info Exchange, Big Brother Watch et l'App Drivers & Couriers Union ont écrit une lettre conjointe au maire de Londres pour faire part de nos inquiétudes quant à la confiance que Transport for London s'est fondée sur des preuves erronées d'Uber pour prendre une décision de révocation et ont exigé que, en tant que président de Transport pour le conseil d'administration de Londres, qu'il ordonne un examen de toutes ces révocations injustifiées. À ce jour, ni le maire ni TfL n'ont répondu.

Surveillance Case Study II: Geolocation

Opaque Performance Management

Gestion des performances opaques

L'opacité des entreprises de plate-forme empêche les travailleurs de comprendre comment le contrôle algorithmique peut être intégré sur l'ensemble des processus critiques et dans le temps. Par exemple, les travailleurs n'ont pas bénéficié de la transparence à laquelle ils ont légalement droit afin de comprendre comment le profilage des performances est lié à la qualité et à la quantité du travail offert ainsi qu'aux rendements attendus pour un tel travail.

Dans le cas d'Ola, nous avons une certaine connaissance des catégories de données qu'ils collectent et traitent dans leurs systèmes d'attribution du travail - telles que les scores de probabilité de fraude, le profil de rémunération, l'historique d'acceptation et d'annulation des réservations, entre autres - mais cela ne révèle pas les différentes pondérations. appliqué à ces variables, ni la logique de traitement.

Uber a longtemps soutenu que son système de correspondance est uniquement déterminé par l'emplacement, bien que sa propre interface « Partenaire-Chauffeur » suggère le contraire. Le programme Pro d'Uber (auquel les conducteurs sont automatiquement inscrits afin qu'ils puissent être incités à atteindre les objectifs de performance en échange d'avantages et de récompenses) informe les conducteurs dans un langage vague que « des taux de confirmation plus élevés signifient des temps d'attente plus courts pour les clients et des temps de prise en charge plus courts pour tous conducteurs » faisant vaguement allusion au fait que la baisse des emplois entraînera une diminution des offres d'emploi.

Uber n'a que récemment offert plus de transparence sur le système de correspondance grâce à une mise à jour de sa politique de confidentialité qui stipule que « les utilisateurs peuvent être jumelés en fonction de la disponibilité, de la proximité et d'autres facteurs tels que la probabilité d'accepter un voyage en fonction de leur comportement ou de leurs préférences passés » mais, au moment de la rédaction, le lien offrant des informations complémentaires sur le système d'appariement est rompu, attestant du caractère évolutif de ces traitements de données. Une récente demande d'accès à l'information que nous avons adressée à TfL, demandant quelles mises à jour Uber avait fournies sur son système de correspondance (comme il est obligé de le faire lors de la modification de son modèle de fonctionnement) n'a donné aucun résultat, soulignant davantage l'obscurcissement de ses pratiques de gestion algorithmique. et l'absence de surveillance réglementaire.

Les récentes révélations sur les variables déterminant la répartition du travail soulèvent également d'importantes questions sur la qualité des emplois offerts aux conducteurs. Les chauffeurs ayant des taux d'acceptation d'emploi élevés se voient-ils proposer des trajets plus longs et plus longs, entraînant une rémunération plus élevée, sur la base d'un profilage similaire ? Ou, pour aller plus loin, les chauffeurs proposent-ils des tarifs différents via le système de tarification dynamique ? En effet, savoir si et comment la tarification algorithmique est associée à l'allocation du travail est une question sensible dont on sait encore peu de choses.

Ces dernières années, Uber a remplacé la tarification variable en fonction du temps et de la distance pour les clients par un modèle de tarification fixe dans lequel un prix initial est accepté au début d'un voyage. Uber déclare que "la tarification initiale est dynamique, ce qui signifie que le prix est calculé en temps réel pour aider à équilibrer l'offre et la demande". Plus récemment, des chauffeurs ont déclaré se voir offrir des tarifs très bas pour des emplois individuels. Il y a ici une opportunité évidente pour Uber d'augmenter sa part du tarif éventuel payé par les passagers. Des inquiétudes ont été exprimées concernant les résultats discriminatoires de l'utilisation de ces systèmes de tarification dynamique sur les passagers, ce qui introduit la perspective que les conducteurs pourraient également être soumis à une tarification personnalisée en temps réel. Il y a ici de sérieux problèmes éthiques si les opérateurs proposent des prix inférieurs aux travailleurs vulnérables sur la base d'un profilage qui prédit leur volonté d'accepter un travail à différents niveaux de prix.

Au Royaume-Uni, de telles pratiques semblent aller à l'encontre des dispositions de l' article 1 de l'Employment Rights Act qui autorise les travailleurs à recevoir de leur employeur une déclaration claire des conditions de leur travail, y compris les taux de rémunération.

Étude de cas : contrôle algorithmique

Uber envoie régulièrement des messages aux conducteurs lorsqu'ils sont signalés par ses systèmes de détection de fraude pour les avertir qu'ils peuvent perdre leur emploi s'ils continuent le comportement qui déclenche le système. Les messages contiennent une liste non exhaustive des déclencheurs potentiels, mais ne fournissent pas de raison spécifique au conducteur individuel accusé de fraude. Lorsque Alexandru a reçu le deuxième et dernier de ces messages, sachant qu'un autre drapeau entraînerait le licenciement, il a décidé d'appeler l'équipe d'assistance aux conducteurs pour obtenir plus de détails sur les raisons pour lesquelles il déclenchait le système anti-fraude et ce qu'il pouvait faire pour l'éviter. . Au cours de l'appel , Alexandru et l'agent d'assistance ont discuté de diverses situations qui peuvent avoir fait que ses déplacements semblent irréguliers, révélant la capacité limitée des équipes d'assistance à déchiffrer les indications fournies par le système. Trois mois après cet appel, Uber a envoyé un message d'excuses indiquant qu'il avait reçu les avertissements par erreur.

Alexandru's Call with Uber Support

00:00 / 39:14

Alors que la conversation est instructive en termes de compréhension des dilemmes auxquels sont confrontés les conducteurs lorsque la politique de l'entreprise et les demandes des passagers divergent, nous avons été particulièrement intéressés par la discussion (25 minutes après le début de l'appel) concernant un détour qu'Alexandru a pris en raison de travaux routiers, ainsi que son faible taux d'acceptation de l'emploi comme causes potentielles de sa détection par le système anti-fraude. À la suite de la décision de la Cour suprême qui a classé les chauffeurs d'Uber comme des travailleurs plus tôt cette année, Uber a affirmé avoir apporté des modifications importantes à sa plate-forme, telles que la transparence des prix et de la destination, ainsi que la suppression des mesures punitives pour refus d'emploi, dans le but de faire valoir que la décision de la Cour suprême ne s'appliquait pas aux conducteurs Uber actuels.

L'expérience d'Alexandru sur la plate-forme va à l'encontre de ce récit, car il devient évident qu'il est probablement signalé pour s'être écarté de l'itinéraire (malgré le fait qu'Uber utilise désormais un modèle de prix fixe, ce qui signifie que les conducteurs effectuent de tels changements d'itinéraire à leurs propres frais) et n'acceptant pas assez le travail qui lui est proposé sur la plateforme. Cet appel montre indéniablement qu'en pratique, les chauffeurs sont toujours aussi étroitement contrôlés par Uber qu'avant.

En plus de ces pratiques de gestion, le programme Pro mentionné ci-dessus est un autre outil qu'Uber utilise pour exercer un contrôle sur ses effectifs, tout en se soustrayant aux obligations légales qui peuvent être associées à un tel contrôle. Par exemple, en liant certaines récompenses résultant du maintien d'une note élevée à des sociétés tierces ou en présentant la participation aux avantages tarifaires comme purement facultative par le biais d'un coup de pouce comportemental, Uber crée l'illusion de laisser les chauffeurs opérer en toute indépendance et flexibilité. L'engagement volontaire supposé des conducteurs dans ces programmes se traduit par l'abandon des droits résultant d'une relation de travail.

INTÉGRER : la vidéo d'Alexandru

Case Study: Algorithmic Control

Expansion de l'infrastructure d'application de la loi

Il est également prouvé que les plateformes sont devenues de plus en plus une source de renseignements attrayante pour les services de police et de sécurité. Dans une déclaration de témoin présentée en preuve en septembre 2020 lors de l'appel de licence d'Uber devant le tribunal de première instance de Westminster, le directeur général d'Uber pour le Royaume-Uni et l'Europe occidentale, Jamie Heywood, a attesté d'une relation de plus en plus étroite avec la police et les services de sécurité. Il s'agit notamment du National Counter Terrorism Policing Network, du SO15 - le Counter Terrorism Command of the Metropolitan Police Service, du National Police Chiefs Council (NPCC), du College of Policing, de la National Crime Agency et de la British Transport Police. L'un des domaines de coopération a été le problème du transport de drogue sur les lignes de comté. Citant l'inspecteur-détective Stuart Liddell du NPCC, Heywood a témoigné d'une relation mature basée sur des niveaux sophistiqués de partage de renseignements :

"Je suis encouragé par l'engagement affiché par Uber à ce sujet et d'autres travaux sont prévus [en 2020] pour s'appuyer sur les travaux réalisés jusqu'à présent. Cela se concentrera sur des aspects plus complexes des lignes de comté, le flux d'informations et de renseignements et le renforcement des relations entre le Centre national de coordination des lignes de comté.

En effet, le NPCC a fait pression sur le commissaire de Transport for London, Mike Brown, pour soutenir l'appel de licence d'Uber. Le chef de police Mark Collins est même allé jusqu'à suggérer qu'une décision de refuser à Uber son permis pourrait avoir un impact négatif sur la police britannique.

"J'espère que cette lettre décrit l'impact négatif sur la police britannique si la police n'était pas en mesure d'accéder aux données et informations que j'ai décrites."

Heywood a également déclaré que Collins avait affirmé que le service de police métropolitaine à lui seul faisait plus de 2 000 demandes de données à Uber chaque année. Il s'agit d'un nombre relativement élevé de demandes étant donné que, selon le propre rapport sur la transparence d' Uber, en 2020, toutes les autorités américaines chargées de l'application de la loi ont fait un peu moins de 5 000 demandes de données et toutes les autorités canadiennes combinées n'ont fait que 411 de ces demandes.

Il est probable que la direction d'Uber ressente une pression pour coopérer avec les initiatives de collecte de renseignements de la police, en particulier à la lumière de la décision de Transport for London de refuser le renouvellement de leur licence à deux reprises. Cela est dû au fait que l' article 17 de la loi de 1998 sur la criminalité et le désordre confère une responsabilité directe aux autorités chargées de l'octroi des licences de prévenir le crime et le désordre dans leur région. Cela impose aux autorités de délivrance de licences telles que Transport for London d'établir des partenariats de réduction de la criminalité et des troubles (CDRP) auxquels les opérateurs de transport tels qu'Uber sont censés participer.

Dans les directives statutaires du ministère des Transports aux autorités de délivrance des licences, le gouvernement renforce l'attente d'un partage de renseignements entre la police, les autorités de délivrance des licences et les opérateurs de transport tels qu'Uber :

« Faire prendre conscience aux forces de police de la valeur que les autorités de délivrance des licences accordent aux informations reçues, en particulier aux renseignements sans condamnation, contribuera à approfondir ces relations et renforcera les avantages d'un plus grand partage d'informations. Cette relation peut être mutuellement bénéfique, aidant la police à prévenir le crime. La police peut obtenir des renseignements précieux de la part des conducteurs et des opérateurs... »

Bien que de telles relations aient une importance significative pour le contrôle de la criminalité au niveau communautaire, il semble que peu d'attention ait été accordée au risque pour les libertés civiles d'un accès relativement facile aux riches données personnelles des conducteurs et des passagers telles que collectées et stockées par des plateformes telles que Uber, Bolt et Ola. Les taxis.

"J'espère que cette lettre décrit l'impact négatif sur la police britannique si la police ne pouvait pas accéder aux données et aux informations que j'ai décrites."

« Sensibiliser davantage les forces de police à la valeur que les autorités de délivrance des licences accordent aux informations reçues, en particulier aux renseignements sur les non-condamnations, contribuera à approfondir ces relations et renforcera les avantages d'un plus grand partage d'informations. Cette relation peut être mutuellement bénéfique, aidant la police à prévenir le crime. La police peut obtenir des renseignements précieux auprès des chauffeurs et des opérateurs... »

Expansion of Law Enforcemen Infrastructure

Étude de cas : partage de renseignements avec les forces de l'ordre

Un autre travailleur qui nous a demandé de l'aide était un chauffeur Uber qui a été suspendu à tort de la plate-forme Uber pendant sept semaines, entraînant une perte de près de 5 000 £, à la suite d'une demande de renseignement faite par la police. En 2019, le chauffeur a reçu un message d'Uber indiquant qu'il était temporairement suspendu en raison d'une enquête en cours. Il n'a reçu ni motif ni délai pour sa suspension. En fait, il lui a été expressément dit de ne pas contacter Uber pendant qu'ils menaient l'enquête. Sept semaines plus tard, il a reçu un appel l'informant qu'il pouvait désormais travailler.

Deux ans plus tard, une demande de renouvellement de permis que le conducteur a présentée à TfL (qui comprend un contrôle amélioré du service de divulgation et d'interdiction) a révélé le motif de la suspension, lorsque TfL l'a interrogé sur la fourniture de drogue en 2019 et a menacé de lui retirer son permis. Choqué par la révélation, le conducteur a demandé un numéro de référence du crime et a mené des enquêtes supplémentaires non seulement auprès de TfL, mais également de la police métropolitaine.

Nous avons aidé le chauffeur à faire des demandes d'accès et des plaintes à Uber, TfL et la police. Uber n'a pas répondu à la demande (le chauffeur a été informé que sa demande avait été transmise à une équipe de spécialistes mais n'a reçu aucune autre réponse), cependant, la réponse de TfL a révélé une vaste chaîne d'e-mails entre divers responsables alors qu'ils tentaient d'identifier la source du renseignement. demander. Uber a affirmé qu'ils avaient été approchés par la police alors que la police n'avait trouvé aucun dossier ou preuve d'enquête sur le conducteur. Finalement, Uber a nommé l'officier qui avait fait la demande de renseignement, mais lorsque TfL a demandé des détails sur l'affaire, l'OCI a affirmé qu'il n'avait aucun souvenir du conducteur en question.

La plainte que le conducteur a déposée auprès de la police métropolitaine a finalement reçu une réponse en octobre 2021 et a conclu que le conducteur n'avait jamais été identifié comme suspect :

«Les agents ont été chargés d'identifier un suspect en rapport avec un crime grave. Les agents avaient reçu le nom d'une personne d'intérêt. Je peux confirmer que ce n'était PAS vous. Un formulaire de protection des données a été soumis le 20 février 2019 à Uber avec ces détails suspects nommés. Je ne suis pas autorisé à divulguer d'autres détails à ce sujet.

« À aucun moment votre nom n'a figuré dans cette enquête de recherche menée avec Uber. L'agent ne s'est PAS approché d'Uber à la recherche d'informations vous concernant. À la suite de notre enquête, Uber a fourni vos coordonnées à la police. Une fois que les informations ont été reçues d'Uber et qu'ils nous ont donné votre nom, nous savions que vous n'étiez PAS lié à notre enquête et aucune autre mesure n'a été prise et vous avez été exclu de toute autre enquête.

« L'agent n'a enfreint aucune norme professionnelle, n'a pas agi en dehors de son rôle de policier ou n'a abusé de son pouvoir. Votre nom n'était pas le but de la demande et à aucun moment nous n'avons dit à Uber que vous étiez une personne d'intérêt.

"Uber devrait peut-être expliquer comment ils suspendent quelqu'un qui ne faisait pas l'objet de la demande initiale et aussi pourquoi, après 10 jours, vous n'étiez pas automatiquement réintégré dans l'application et capable de continuer à travailler."

INTÉGRER : La vidéo de L

"Les agents ont été chargés d'identifier un suspect en relation avec un crime grave. Les officiers avaient reçu le nom d'une personne d'intérêt. Je peux confirmer que ce n'était PAS vous. Un formulaire de protection des données a été soumis le 20 février 2019 à Uber avec les détails de ce suspect nommé. Je ne suis pas libre de divulguer d'autres détails à ce sujet.

"A aucun moment votre nom n'a figuré dans cette enquête de recherche menée avec Uber. L'agent n'a PAS approché Uber à la recherche d'informations vous concernant. À la suite de notre enquête, Uber a fourni vos coordonnées à la police. Une fois que les informations ont été reçues d'Uber et qu'ils nous ont donné votre nom, nous savions que vous n'étiez PAS lié à notre enquête et aucune autre mesure n'a été prise et vous avez été exclu de toute autre enquête.

«L'officier n'a enfreint aucune norme professionnelle, n'a pas agi en dehors de son rôle de policier ou abusé de son pouvoir. Votre nom n'était pas le but de la demande et à aucun moment nous n'avons dit à Uber que vous étiez une personne d'intérêt.

"Uber devrait peut-être expliquer comment ils suspendent quelqu'un qui ne faisait pas l'objet de la demande initiale et aussi pourquoi, après 10 jours, vous n'avez pas été automatiquement réintégré dans l'application et capable de continuer à travailler."

Case Study: Intelligence Sharing with Law Enforcement

Part II: Exercising Data Rights at Work: Access

Partie II : Exercice des droits sur les données au travail : accès

Le droit du travail ne contient pas les dispositions nécessaires pour protéger pleinement les travailleurs contre les pratiques déloyales découlant de la gestion algorithmique. Cependant, les individus ont des droits en vertu du RGPD qui peuvent protéger leurs intérêts dans des contextes d'emploi. En soutenant les travailleurs, nous invoquons leurs droits tels que définis par les articles 15, 20 et 22, qui leur donnent le droit d' accéder aux données personnelles , le droit à la portabilité des données , ainsi que le droit d'être informés sur la prise de décision automatisée et la logique de traitement .

Article 22 : Les personnes concernées ne peuvent faire l'objet de décisions ayant des effets juridiques (ou d'une importance similaire), fondées uniquement sur le traitement automatisé des données.

[Si le responsable du traitement traite des données avec le consentement explicite de la personne concernée, ou pour l'exécution d'un contrat avec elle, la personne concernée a le droit d'obtenir une intervention humaine, d'exprimer son point de vue et de contester la décision]

Article 15 : Les personnes concernées ont le droit de recevoir une copie de leurs données personnelles, ainsi que des informations supplémentaires telles que les finalités du traitement des données, les informations sur les personnes avec lesquelles les données peuvent être partagées, la durée du traitement, etc.
Article 20 : Les personnes concernées ont le droit de recevoir les données personnelles qu'elles ont fournies à un responsable du traitement dans un format structuré, couramment utilisé et lisible par machine. Ils ont également le droit de transmettre ("port") les données à un autre responsable du traitement. Dans la mesure du possible, ils peuvent demander que les données soient transmises directement d'un responsable de traitement à un autre.

Bien que les plates-formes mettent des téléchargements de données à la disposition des travailleurs, celles-ci omettent fréquemment les catégories de données les plus propices et les plus nécessaires pour interroger les conditions de travail (telles que l'équité des salaires, la répartition des tâches et l'utilisation, comme indiqué ci-dessus.) Dans notre aspiration à élargir la portée de données mises à la disposition des travailleurs, nous faisons des demandes d'accès et de portabilité spécifiques qui couvrent la gamme complète des plates-formes de concerts de données collectées auprès d'eux. Dans ces requêtes, nous cherchons à obtenir trois types de données différents :

1) Données d'entrée - fournies par les travailleurs eux-mêmes

2) Données d'observation - basées sur l'utilisation des plates-formes par les travailleurs (c'est-à-dire les données brutes de mesure et de surveillance telles que les données de localisation, la télématique, etc.)

3) Données inférées - dérivées de l'analyse des données d'observation (par exemple, profilage du comportement des travailleurs sous la forme d'évaluations des risques et de la fraude)

Article 22 : Les personnes concernées ne peuvent pas faire l'objet de décisions ayant des effets juridiques (ou d'une importance similaire), fondées uniquement sur le traitement automatisé des données.

Article 15 : Les personnes concernées ont le droit de recevoir une copie de leurs données personnelles, ainsi que des informations supplémentaires telles que les finalités du traitement des données, des informations sur les personnes avec lesquelles les données peuvent être partagées, la durée du traitement, etc.

Article 20 : Les personnes concernées ont le droit de recevoir les données personnelles qu'elles ont fournies à un responsable du traitement dans un format structuré, couramment utilisé et lisible par machine. Ils ont également le droit de transmettre ("porter") les données à un autre responsable du traitement. Dans la mesure du possible, ils peuvent demander que les données soient transmises directement d'un responsable de traitement à un autre.

Des données d'entrée

Fourni par les travailleurs eux-mêmes

Données observées

Sur la base de l'utilisation des plateformes par les travailleurs (c'est-à-dire des données brutes de mesure et de surveillance telles que les données de localisation, la télématique, etc.)

Données inférées

Dérivé de l'analyse des données d'observation (par exemple, profilage du comportement des travailleurs sous la forme d'évaluations des risques et de la fraude)

Ces catégories de données sont souvent rendues explicites dans les documents d'orientation et les politiques de confidentialité, mais ne sont pas partagées avec les conducteurs lorsqu'ils téléchargent leurs données ou font des demandes d'accès. D'après notre expérience, lorsque les travailleurs recherchent ces informations, les plateformes de concerts visent à rendre le processus difficile et fastidieux en adoptant une variété de comportements non conformes. Les travailleurs à la recherche de données complètes doivent naviguer dans des architectures de sites Web extrêmement complexes et obstructives et doivent contourner les efforts supplémentaires de frustration des agents de support, qui prolongent inutilement des processus administratifs simples ou fournissent des réponses automatisées qui ne répondent pas de manière adéquate aux requêtes. Ces procédures peuvent être décrites comme des « modèles sombres » conçus pour empêcher les travailleurs d'exercer leurs droits en tant que personnes concernées. Lorsque les travailleurs sont en mesure d'obtenir leurs données, il leur manque souvent des segments considérables ou elles sont présentées dans des formats incohérents et non lisibles par machine, ce qui rend l'analyse effectivement impossible. Ces actes d'obstruction obligent les travailleurs à faire des demandes répétées que les entreprises invoquent en fin de compte pour les discréditer.

Dans toutes les déclarations DSAR que nous avons vues, aucun employeur n'a fourni un compte rendu complet et approprié du traitement automatisé des données personnelles. Ceci est particulièrement important dans les domaines qui peuvent déterminer la sécurité de l'emploi tels que la répartition du travail, la gestion des performances, la sûreté et la sécurité, comme discuté dans ce rapport. Uber et Ola ont fait valoir devant le tribunal que la sûreté et la sécurité de leur plate-forme pourraient être compromises si la logique d'un tel traitement de données était divulguée à leurs employés. À notre avis, la sûreté et la sécurité ne peuvent être améliorées que lorsque les plateformes établissent de manière transparente des règles et des normes de performance plutôt que de s'appuyer sur une surveillance secrète et des licenciements sommaires, qui sont quelques-unes des principales motivations des DSAR.

Compte tenu de cette attitude de résistance aux DSAR, il est également important de noter que de nombreux conducteurs craignent des représailles de la part des entreprises pour avoir fait des demandes. Lorsque les plateformes de concerts effectuent des contrôles d'identité immodérés et prolongés en réponse aux demandes d'accès des sujets, les travailleurs sont facilement découragés et intimidés (voir les e-mails envoyés aux chauffeurs par Uber dans les études de cas de réponse de la plateforme). Dans les nombreux entretiens que nous avons menés avec des conducteurs, de longs messages de demande de confirmation, transmis dans un langage juridique complexe, ont souvent été référencés comme des éléments dissuasifs pour poursuivre les demandes. Pour de nombreux conducteurs, le fait de persister dans la demande équivaut à mettre sa tête au-dessus du parapet et à risquer son gagne-pain et sa sécurité d'emploi.

Cette perception découle souvent d'expériences d'exploitation et d'insécurité continues, résultant de la capacité et des connaissances limitées des travailleurs dans l'exercice des droits démocratiques, que ce soit au Royaume-Uni en tant qu'immigrants ou dans leur pays d'origine, qui dans de nombreux cas affichent des penchants autoritaires. Dans une main-d'œuvre déjà très fragmentée et sujette à la précarité économique, où le besoin de sécurité l'emporte largement sur le désir de défier l'injustice, l'impact de ce type de comportement hostile de la part des entreprises ne peut être surestimé. Cette insécurité est en outre aggravée par l'opacité des algorithmes de gestion. En l'absence d'explications claires sur le fonctionnement des systèmes d'allocation du travail ou de gestion des performances de la boîte noire, il devient très facile pour les travailleurs de s'engager dans une réflexion spéculative ou même complotiste sur la manière dont leurs interactions avec la plateforme affectent leur travail. Cela peut alors s'étendre à une méfiance généralisée à l'égard des autres institutions et à une aversion pour l'organisation de l'activité. Il s'agit de vulnérabilités fortes et persistantes au sein de la main-d'œuvre qui nécessitent une attention et une protection particulières.

Case Studies: Indivdual DSARs

Études de cas : DSAR individuels

Les études de cas suivantes montrent certaines des manières dont Uber adopte un comportement obstructif et non conforme en répondant aux demandes de données des travailleurs. De manière significative, ces exemples ne peuvent pas être expliqués comme des exceptions ou des événements isolés concernant des agents de soutien inexpérimentés. Ces réponses représentent les procédures standard suivies par Uber lorsque les travailleurs souhaitent exercer leurs droits d'accès aux données.

Réponses circulaires et futiles

M. Ahmed est un ancien chauffeur Uber et coursier Uber Eats. En octobre 2020, ses comptes de chauffeur et de coursier Uber ont été suspendus et en février 2021, son compte de chauffeur a été désactivé. Cela a également affecté son compte de messagerie UberEats, qui a ensuite été désactivé et supprimé.

Lorsque M. Ahmed a demandé la cause de son licenciement, il a reçu des réponses contradictoires. Uber a initialement cité l'échec des contrôles de reconnaissance faciale, puis a affirmé que la désactivation était due à un volume élevé de commandes non livrées. Tout au long de la correspondance, ils se sont adressés à lui par un mauvais nom et ont finalement accepté que les messages concernant les échecs des vérifications d'identité en temps réel avaient été envoyés par erreur. La confusion autour de son licenciement l'a conduit à rechercher ses données personnelles.

Au cours des derniers mois, M. Ahmed a tenté de récupérer les données associées à son compte Uber Eats désactivé. M. Ahmed a d'abord tenté d'obtenir ses données le 15 avril 2021, via le formulaire « Soumettre une demande de confidentialité sans compte Uber » sur le site Web d'Uber, puisque son compte avait été supprimé à la suite de son licenciement.

En réponse, il a reçu un e-mail d'Uber déclarant : « Notre avis de confidentialité limite notre capacité à partager les informations des titulaires de compte. Nous ne pouvons fournir ces informations que via le processus décrit dans nos directives de demande de données. » Ce processus consiste à se connecter au compte et à faire la demande depuis le compte. « Cela dit, nous sommes en mesure de travailler avec vous via les canaux appropriés pour vous aider au besoin. »

M. Ahmed a répondu en demandant des conseils sur la façon dont il pourrait accéder aux données associées à son compte désormais supprimé. Il a expliqué qu'il écrivait à partir de l'e-mail associé à son compte Uber Eats et qu'il avait également fourni le numéro de téléphone mobile associé à ce compte. Il a ajouté qu'il était heureux de fournir de plus amples informations pour confirmer son identité.

À cela, M. Ahmed a reçu une réponse indiquant que sa « préoccupation n'est pas liée à ce compte. Veuillez nous écrire à partir du compte concerné ou vous connecter via help.uber.com avec les informations d'identification pertinentes et nous informer du problème afin que nous puissions vous aider davantage.

M. Ahmed a répondu en joignant une image de l'e-mail d'intégration qui lui a été envoyé par Uber le 3 juillet 2020, pour démontrer qu'il écrivait à partir du compte concerné. Le 19 avril 2021, il a reçu le même message indiquant que son « inquiétude n'est pas liée à ce compte ».

M. Ahmed a répondu en expliquant une fois de plus qu'il ne pouvait pas accéder à son compte et qu'il avait fourni les détails associés à son compte Uber Eats. Il a demandé à recevoir des conseils sur les autres informations qu'il pourrait fournir pour s'identifier. Il n'a reçu aucune réponse.

À ce stade, M. Ahmed a demandé l'aide de l'App Drivers and Couriers Union et de Worker Info Exchange et nous avons remonté le problème avec Uber. Le 11 mai 2021, M. Ahmed a reçu un e-mail d'Uber lui demandant de confirmer la demande que nous avons faite en son nom. Il nous a répondu en confirmant qu'il nous avait confié son mandat et qu'il souhaitait que sa demande soit traitée.

Le 14 mai 2021, M. Ahmed a reçu d'Uber un formulaire de vérification d'identité pour traiter la demande. Le formulaire demandait les mêmes détails qu'il avait déjà partagés dans ses messages précédents, tels que l'e-mail, le numéro de téléphone, le pays de résidence, le type de données demandées. Il lui a également demandé sa «note actuelle» – qui était inapplicable, car il n'avait plus accès à son compte. M. Ahmed a envoyé le formulaire à Uber, mais il n'a reçu aucune réponse.

Le 20 mai 2021, M. Ahmed a écrit à Uber pour obtenir la confirmation qu'ils traitaient sa demande. Il n'a reçu aucune réponse.

Au moment de la rédaction, M. Ahmed n'a pas reçu ses données. Il n'a pas non plus reçu d'explications sur les raisons pour lesquelles sa demande n'est pas traitée.

Circular and Futile Answers: M Ahmed

Partage de données incohérent et incrémentiel

M. Amini est un ancien chauffeur Uber qui a été désactivé en novembre 2020 suite à l' échec d'une vérification de géolocalisation . Uber a signalé son licenciement à TfL, qui a ensuite révoqué le permis de location privée de M. Amini, le laissant sans travail. Afin de comprendre la cause de son licenciement, M. Amini a cherché à obtenir ses données auprès d'Uber.

M. Amini a fait sa première demande le 13 avril 2021 et a demandé toutes ses données personnelles, y compris les 26 catégories de données décrites dans le document d'orientation produit par Uber, ainsi que les images qu'il a soumises en réponse aux contrôles d'identité en temps réel. Il a précisé qu'il voulait des données couvrant toute la période où il a été actif en tant que chauffeur Uber.

M. Amini a reçu une réponse à sa demande le 05 mai 2021, cependant les données fournies ne couvraient que les 30 jours précédant sa demande. Étant donné que M. Amini n'avait pas pu travailler pour Uber pendant cette période, de nombreux ensembles de données fournis étaient vides.

M. Amini a ensuite fait une autre demande le 6 mai 2021, déclarant à nouveau qu'il demandait des données concernant toute la période pendant laquelle il a travaillé avec Uber, ajoutant spécifiquement qu'il souhaitait des données collectées jusqu'en novembre 2020.

M. Amini a reçu une réponse le 28 mai 2021. Cependant, des données incomplètes lui ont de nouveau été transmises. Plus précisément, le fichier csv des données détaillées sur le périphérique fourni par Uber était complètement vide.

M. Amini a fait une autre demande le 02 juin 2021 pour demander les données manquantes. Il a reçu ses données détaillées sur l'appareil du conducteur pour novembre 2020 le 10 juin 2021. Cependant, bien qu'il ait précisé qu'il souhaitait tous les champs de données répertoriés dans les notes d'orientation produites par Uber, il a reçu un ensemble de données restreint qui omettait 32 des 50 données. des champs.

Inconsistent and incremental data sharing

Obfuscation et résistance

M. Majid est un ancien chauffeur Uber qui a été désactivé en septembre 2020 suite à l'échec d'une vérification de géolocalisation. Comme dans le cas de M. Amini, Uber a signalé le licenciement de M. Majid à TfL, ce qui a entraîné la révocation de son permis de location privée. Afin de comprendre le fondement des allégations d'Uber, il a tenté d'obtenir ses données.

M. Majid a contacté Uber pour la première fois pour demander ses données le 2 juin 2021. En réponse, il a reçu un message lui demandant d'expliquer brièvement sa préoccupation. M. Majid a répondu en demandant 3 catégories de données (sur les 26 catégories énumérées dans les notes d'orientation d'Uber) pour septembre 2020.

Le 8 juin 2021, M. Majid a reçu un message d'Uber indiquant : « Notre politique de confidentialité ne nous permet pas d'apporter des modifications ou de discuter d'informations personnelles sans contact via l'adresse e-mail associée à votre compte partenaire. Afin de vous aider avec votre problème spécifique, vous devrez écrire en utilisant l'adresse e-mail associée à ce compte. Merci de votre compréhension."

À ce stade, M. Majid nous a contactés, confus, car il avait écrit à Uber depuis son compte. Il a répondu, expliquant à Uber qu'il les avait contactés en se connectant à son compte de chauffeur, donc il écrivait certainement à partir de la bonne adresse e-mail. Il a demandé s'il pouvait fournir des pièces d'identité/documents supplémentaires pour assurer à Uber qu'il était celui qui avait fait la demande.

En réponse, il a reçu le même message d'Uber : "Bonjour... merci pour votre message. Nous comprenons que vous souhaitez discuter des informations relatives à un compte Uber. Si vous êtes le titulaire du compte, veuillez nous écrire à partir de l'adresse e-mail associée à votre compte Partner-Driver, et nous serons en mesure de vous aider immédiatement.

Le 9 juin 2021, M. Majid s'est connecté à son compte partenaire et a commencé une discussion avec l'assistance Uber pour réessayer. Son message lui demandant s'il pouvait faire une demande d'accès au sujet a été ignoré.

Le 14 juin 2021, M. Majid a de nouveau contacté Uber, indiquant qu'il avait une question sur son compte partenaire chauffeur. Il a reçu une réponse d'Uber : « Merci de nous avoir contactés… Nous avons profité de l'occasion pour examiner votre préoccupation et pouvons voir que vous nous avez déjà contacté à propos de ce problème. L'un des membres de notre équipe étudie actuellement votre problème et nous vous répondrons dans les plus brefs délais. Pour rationaliser notre communication et éviter toute confusion, nous allons de l'avant pour clore ce contact.

Le 16 juin 2021, M. Majid a de nouveau contacté Uber, indiquant qu'il lui avait été demandé de se connecter à son compte pour faire une demande, et après avoir fait cela, il souhaitait partager les détails de sa demande. Il a reçu une réponse le lendemain et a ensuite envoyé les détails de la demande (des trois ensembles de données énumérés ci-dessus) le 18 juin 2021.

N'ayant reçu aucune réponse, M. Majid a recontacté Uber le 28 juin 2021, lui demandant de confirmer que sa demande était en cours de traitement. Le 1er juillet 2021, il a reçu une réponse indiquant que sa préoccupation avait été soulevée auprès de l'équipe spécialisée et qu'ils seraient en contact pour enquêter plus avant.

Le 2 juillet 2021, M. Majid a reçu une réponse au fil de discussion qu'il avait lancé le 9 juin 2021. Ce message indiquait qu'Uber exigeait que les demandes soient personnellement signifiées à l'adresse postale d'Uber BV aux Pays-Bas.

M. Majid n'a reçu aucune autre communication.

Obfuscation and Resistance

« La question des algorithmes est au cœur de la thématique de l'ubérisation. Trop souvent, c'est l'algorithme qui joue le véritable rôle du patron, la technologie offrant de nouveaux moyens de subordination des travailleurs. Il y a bien évidemment un besoin de transparence de la gestion algorithmique mais au-delà de cette transparence, il y a un besoin de co-gestion de l'algorithme. Les représentants des travailleurs doivent pouvoir participer à leur développement."

Leïla Chaibi, eurodéputée

Études de cas : réponses de la plate-forme à

Demandes par lots par l'échange d'informations sur les travailleurs

Comme le montrent les exemples ci-dessus, les processus de demande individuels peuvent être extrêmement longs et gourmands en capacité. Nous avons donc créé des processus pour nous permettre de faire des demandes groupées pour le compte des chauffeurs et rationaliser cette procédure complexe. Nous avons mis en place un système utilisant la solution de signature électronique et d'identification développée par Scrive pour recevoir un mandat légal des travailleurs pour faire des demandes en leur nom. Cette solution comprend également une vérification d'identité effectuée par Onfido (le même service de vérification d'identité utilisé par Uber), pour garantir que nous et le responsable du traitement pouvons être certains de l'identité du demandeur et préserver la confidentialité de ses données. La vérification d'identité nécessite que les travailleurs présentent l'un des documents d'identité suivants : passeport, permis de conduire, carte d'identité ou permis de séjour. Grâce à ce processus, un document de consentement individuel est créé pour chaque individu, scellé électroniquement et vérifiable au moyen de pièces jointes dissimulées contenant un journal des preuves pour prouver l'authenticité du processus d'identification. (Scrive fournit également un service permettant de vérifier l'intégrité des formulaires de consentement, auxquels sont liés les documents.) Nous envoyons ces documents, accompagnés d'une feuille de calcul contenant les noms, e-mails, adresses et numéros de téléphone des travailleurs faisant des demandes.

Certaines entreprises se sont montrées disposées et coopératives à répondre aux demandes formulées dans le cadre de cette procédure, tandis que d'autres se sont livrées à un comportement beaucoup plus obstructif et hostile. Cependant, même lorsque les entreprises se sont conformées aux demandes, il y a eu des problèmes constants dans l'établissement des catégories précises de données collectées, ainsi que dans l'obtention de toutes les données demandées dans un format structuré et lisible par machine. Peu d'entreprises ont été en mesure de fournir des documents d'orientation avec des descriptions claires des catégories de données, et les données que nous avons reçues ont souvent affiché des incongruités importantes avec le traitement décrit dans les politiques de confidentialité. De manière générale, les entreprises ont montré une tendance à nier les pratiques de données qu'elles ne souhaitent pas divulguer. Dans un cas, une entreprise a affirmé que l'évaluation de la fraude mentionnée dans sa politique de confidentialité n'avait été entreprise que dans le cadre d'un essai et que la politique de confidentialité était obsolète. Un autre nous a référé à un document qui, selon eux, avait remplacé celui sur lequel nous basions notre demande, même si les deux documents ont été mis à jour à la même date.

Malgré ces difficultés, le refoulement le plus controversé auquel nous avons été confrontés a été le refus de notre droit d'agir au nom des travailleurs lors de demandes d'accès en tant que tiers. Ce droit sans ambiguïté (clairement énoncé dans les orientations de l'ICO et même promu par la proposition de réforme RGPD du gouvernement) a été remis en cause à la fois par Bolt et Uber. S'il est évident que la résistance agit pour frustrer le processus de demande, cela indique également une lacune importante dans les directives existantes sur les processus de vérification d'identité. Lorsque les entreprises insistent pour effectuer des contrôles d'identité en prenant directement contact avec les travailleurs, les soumettant à une correspondance juridiquement complexe, cela nie largement l'objectif de faire appel à des tiers pour les demandes. Il existe ici un conflit préoccupant entre les droits des parties respectives qui nécessite des directives réglementaires urgentes pour s'assurer qu'il n'est pas abusé et manipulé pour approfondir les asymétries informationnelles.

Platform Responses to Requests

Deliveroo

Sur les sept entreprises auxquelles nous avons fait des demandes, Deliveroo était la plus conforme. Dans nos demandes, nous avons demandé aux entreprises de confirmer la date à laquelle la demande recevra une réponse et de traiter les demandes en bloc, en nous informant lorsque toutes les divulgations individuelles sont faites.

Deliveroo a répondu aux demandes dans les délais légaux, sous réserve d'un document d'orientation, annotant clairement les catégories de données et communiqué avec nous tout au long du processus.

Deliveroo

Gratuit maintenant

Free Now a répondu à notre demande dans les délais prévus et a été réactif tout au long du processus. Cependant, nous avons rencontré quelques problèmes qui méritent d'être soulignés.

1) Free Now a d'abord tenté de nous diriger vers leur formulaire de contact en ligne pour faire la demande. Cela ne supportait pas la taille des documents que nous devions partager. Nous n'avons pu obtenir l'e-mail du DPD qu'après des e-mails répétés expliquant le problème.

2) Les données que nous avons reçues ne couvraient pas certaines des catégories de données que nous avions demandées, telles que les données relatives à l'algorithme « forêt aléatoire » utilisé pour la prévention de la fraude. Ceci est expliqué dans le politique de confidentialité du conducteur qui stipule : « Sur la base du score calculé, nous sommes en mesure de hiérarchiser les trajets expédiés en conséquence. Cela garantit une expédition juste et minimisant les risques. Lorsque nous l'avons souligné, Free Now a déclaré :

« Nous ne traitons pas les scores de fraude sur nos chauffeurs, et nous n'utilisons pas (et n'avons pas utilisé) l'algorithme de détection de fraude en relation avec nos chauffeurs et/ou leurs données personnelles.

La section 3.4 de notre avis de confidentialité des conducteurs nécessite donc une mise à jour à cet égard et nous regrettons toute confusion à ce sujet. À titre d'information, nous avons d'abord introduit cette section dans l'avis concernant les tests effectués par notre service d'assurance des revenus. Cependant, aucun conducteur n'a jamais été inclus dans ces tests et, par conséquent, aucun score de fraude liée au conducteur (ou similaire) n'a été créé. Depuis, nous avons cessé d'effectuer ces tests.

3) En réponse à notre demande d'un document d'orientation offrant des descriptions des catégories de données, nous avons été informés :

« Compte tenu du format accessible, concis et intelligible des données en question, aucune directive supplémentaire n'est requise concernant ces demandes. »

"Nous ne traitons pas les scores de fraude de nos chauffeurs, et nous n'utilisons pas (et n'avons pas utilisé) l'algorithme de détection de fraude concernant nos chauffeurs et/ou leurs données personnelles.

La section 3.4 de notre avis de confidentialité pour les conducteurs nécessite donc une mise à jour à cet égard et nous regrettons toute confusion à ce sujet. À titre d'information, nous avons d'abord introduit cette section dans l'avis relatif aux tests effectués par notre service d'assurance des revenus. Cependant, aucun conducteur n'a jamais été inclus dans ce test et, par conséquent, aucun score de fraude lié au conducteur (ou similaire) n'a été créé. Depuis, nous avons cessé d'effectuer ces tests.

"Compte tenu du format accessible, concis et intelligible des données en question, aucune orientation supplémentaire n'est requise concernant ces demandes."

"Afin d'empêcher toute activité frauduleuse, nous stockons vos données de localisation GPS qui nous sont envoyées par votre appareil mobile à de courts intervalles entre le moment de l'acceptation et la fin d'une visite. Cela permet à FREE NOW de créer une carte de tout le déroulement d'une visite. De cette façon, nous voulons nous assurer que les chauffeurs ne prolongent pas délibérément le parcours afin d'obtenir une redevance plus élevée. Dans le même temps, nous pouvons rectifier les plaintes injustifiées des passagers en étant en mesure de suivre le parcours et l'itinéraire réels vers une visite. Le traitement de vos données de localisation GPS pendant une visite a lieu pour votre propre protection, ainsi que pour la protection du passager et pour notre protection sur la base de l'art. 6 (1) f) RGPD. »

Free Now

Amazon Flex

Amazon Flex a initialement répondu aux demandes en demandant l'identification des personnes concernées. Cependant, après avoir reçu une explication de la vérification effectuée via Onfido, ils ont convenu que des informations suffisantes avaient été fournies sur les personnes concernées pour répondre aux demandes.

Suite à la confirmation, Amazon Flex nous a informés qu'il leur faudrait deux mois supplémentaires pour répondre pleinement aux demandes.

Amazon a répondu aux demandes dans le délai imparti, mais n'a pas initialement produit de document d'orientation offrant une explication des catégories de données ou des champs de données, ce qui a rendu une grande partie des informations inintelligibles car il n'était pas clair quelles étaient les unités ou les métriques de mesure pour de nombreux d'eux. Ils ont également envoyé toutes les données au format pdf malgré nos spécifications pour un format lisible par machine tel qu'un csv.

Nous avons par la suite écrit à Amazon pour remédier à ces omissions et avons pu obtenir à la fois un document d'orientation et les données dans un format lisible par machine.

Amazon Flex

Juste manger

Suite à la confirmation des demandes, Just Eat nous a informés qu'ils auraient besoin de deux mois supplémentaires pour répondre pleinement aux demandes et qu'ils fourniraient les données d'ici septembre 2021. Just Eat a fourni les données à la date spécifiée et a indiqué qu'ils avaient traité les DSAR, comme nous l'avions demandé.

Les données comprenaient des informations détaillées sur l'emplacement (au format pdf) mais ne fournissaient aucune des autres catégories que nous avions demandées, telles que des mesures pour évaluer la conformité avec les opérations et/ou la réussite de la livraison.

Aucun document d'orientation n'a été fourni.

Just Eat

Ola

Ola a confirmé la réception de la demande un mois après sa présentation. Nous avons été informés qu'« ils traiteront cela en temps voulu ».

Les chauffeurs ont reçu des réponses à leurs demandes un mois plus tard, qui consistaient en une feuille de calcul contenant uniquement les informations saisies par le chauffeur lors de l'inscription, telles que : nom, numéro de téléphone, numéro d'assurance nationale, détails de paiement ; avec la note moyenne.

Nous avons par la suite écrit à Ola pour exprimer notre préoccupation quant au fait que les données fournies ne couvraient pas bon nombre des catégories énumérées dans la page « Comment nous traitons vos données » d' Ola. Ola a répondu en nous référant à la politique de confidentialité , suggérant que toutes les autres informations étaient obsolètes et remplacées par la politique de confidentialité.

Nous avons expliqué que les dates sur les deux documents indiquaient qu'ils avaient été mis à jour en même temps. Les catégories auxquelles nous avons fait référence semblaient être une ventilation détaillée du traitement des données décrit dans la politique de confidentialité.

Nous n'avons pas reçu d'autres communications d'Ola.

Ola

Verrouiller

Bolt a ignoré notre demande faite le 27 avril 2021. Nous n'avons pu obtenir une réponse qu'après avoir déposé une plainte auprès de l'Inspection estonienne de la protection des données, Andmekaitse Inspektsioon (AKI), la principale autorité de surveillance de Bolt. Le 24 mai 2021, AKI a demandé à Bolt de répondre à notre demande avant le 4 juin 2021.

Le 04 juin 2021, nous avons reçu un e-mail dans lequel Bolt prétendait ne pas avoir reçu les documents que nous leur avions envoyés :

« Nous avons reçu par l'intermédiaire de notre autorité de surveillance principale de l'UE, à savoir AKI, votre correspondance adressée à Bolt, « par e-mail », en date du 27 avril 2021.

AKI nous a écrit le 24 mai pour demander à Bolt de répondre à votre correspondance. Nous n'avons reçu que votre lettre et aucune des pièces jointes référencées dans votre correspondance.

Votre demande, datée du 27 avril 2021, vise le portage des données personnelles des personnes concernées - c'est-à-dire les conducteurs - dit être sous votre mandat.

Vérification d'identité

Bolt n'a pas reçu le nom d'une personne concernée qui serait sous votre mandat.

Le Worker Info Exchange aurait, dans votre correspondance, identifié et authentifié chaque conducteur. Bien que cela soit apprécié, il appartient au responsable du traitement, Bolt, d'utiliser toutes les mesures raisonnables pour vérifier l'identité d'une personne concernée qui a fait une demande d'accès à ses données personnelles. Sachant que nous n'avons reçu que votre courrier, en date du 27 avril 2021, communiqué par l'intermédiaire d'AKI, nous n'avons aucun moyen d'inspecter ni de nous assurer de la vérification, et de nous assurer que des garanties techniques appropriées assurent l'authenticité de ces demandes.

Compétence de l'autorité de surveillance

Bolt s'engage à respecter les droits des utilisateurs, offre un canal de réclamation et s'engage avec enthousiasme avec AKI et d'autres autorités de surveillance chaque fois que nécessaire. Dans ce cas, cependant, nous ne sommes pas convaincus que le Worker Info Exchange est compétent au sens du RGPD pour déposer une plainte auprès d'AKI au nom des personnes concernées.

Nous avons répondu immédiatement en joignant les documents de mandat que nous avions envoyés à Bolt le 27 avril. Bolt n'a pas répondu. Nous avons envoyé un e-mail de suivi pour confirmer la réception des documents par Bolt le 16 juin 2021, cela a également été ignoré.

Enfin, en octobre 2021, après une nouvelle escalade du problème avec AKI, nous avons reçu un accusé de réception de nos demandes de données de Bolt. Dans la correspondance , Bolt a une fois de plus contesté notre processus d'authentification d'identité tout en affirmant que bon nombre des catégories de données que nous avions demandées n'entraient pas dans le cadre de la portabilité des données. Nous ne savons pas pourquoi certaines de ces catégories (telles que les « évaluations d'efficacité » telles que spécifiées dans la politique de confidentialité ) n'entraient pas dans le champ d'application des demandes d'accès en question. L'accès est fourni, nous a-t-on dit, aux conducteurs concernant les données de trajet et que le partage de toute autre information sur l'itinéraire violerait les droits d'autrui et serait « commercialement dévastateur » pour Bolt :

"Par conséquent, en principe, Bolt aurait cherché à se conformer - après avoir satisfait aux contrôles d'authentification pertinents - une telle demande de portabilité en fournissant ce qui reste dans le cadre de l'obligation :

• Nom, e-mail, numéro de téléphone, lieu de résidence.

• Informations sur les véhicules (y compris le numéro d'immatriculation)

• Permis de conduire, photo, documents professionnels et d'identité.

Ces informations sont déjà disponibles pour les Bolt Drivers sur le portail du compte et peuvent être inspectées et récupérées. »

De plus, nous avons aidé un conducteur de Bolt qui tentait d'obtenir ses données, à faire une demande individuelle à Bolt. Bolt ignorait les demandes répétées du conducteur depuis août 2020. Le conducteur a déposé une plainte auprès d'AKI et Bolt a été chargé de répondre à sa demande avant le 16 juin 2021. Le conducteur a finalement reçu des données (principalement des données fournies par le conducteur lui-même. , tels que les documents qu'il a soumis lors de l'inscription), mais cela ne couvrait pas un certain nombre de catégories de données importantes telles que les données de localisation, les informations sur l'itinéraire ou les cotes d'efficacité. Le conducteur ne s'est pas vu expliquer pourquoi il n'avait pas reçu ces ensembles de données.

"Nous avons reçu, par l'intermédiaire de notre autorité de contrôle principale de l'UE, à savoir AKI, votre correspondance adressée à Bolt, "par e-mail", datée du 27 avril 2021.

AKI nous a écrit le 24 mai pour demander à Bolt de répondre à votre correspondance. Nous n'avons reçu que votre lettre et aucune des pièces jointes référencées dans votre correspondance.

Votre demande, datée du 27 avril 2021, vise le portage des données personnelles des personnes concernées - c'est-à-dire les conducteurs - qui seraient sous votre mandat.

Vérification d'identité

Bolt ne reçoit le nom d'aucune personne concernée qui serait sous votre mandat.

Le Worker Info Exchange aurait, dans votre correspondance, identifié et authentifié chaque conducteur. Bien que cela soit apprécié, il appartient au responsable du traitement, Bolt, d'utiliser toutes les mesures raisonnables pour vérifier l'identité d'une personne concernée qui a fait une demande d'accès à ses données personnelles. Sachant que nous n'avons reçu que votre lettre, datée du 27 avril 2021, communiquée par l'intermédiaire d'AKI, nous n'avons aucun moyen d'inspecter ni de nous assurer de la vérification, et de nous assurer que des garanties techniques appropriées garantissent l'authenticité de ces demandes.

Compétence de l'autorité de contrôle

Bolt s'engage à respecter les droits des utilisateurs, offre un canal de réclamations et s'engage avec enthousiasme auprès d'AKI et d'autres autorités de contrôle chaque fois que nécessaire. Dans ce cas, cependant, nous ne sommes pas convaincus que Worker Info Exchange est compétent au sens du RGPD pour déposer une plainte auprès d'AKI au nom des personnes concernées.

"Par conséquent, en principe, Bolt aurait cherché à se conformer - après avoir satisfait aux contrôles d'authentification pertinents - à toute demande de portabilité de ce type en fournissant ce qui reste dans le cadre de l'obligation :

• Nom, e-mail, numéro de téléphone, lieu de résidence.

• Informations sur les véhicules (y compris le numéro d'immatriculation)

• Permis de conduire, photo, profession et documents d'identité.

Ces informations sont déjà disponibles pour les conducteurs Bolt dans le portail du compte, et peuvent être inspectées et récupérées .

Bolt

Uber

Lors du traitement des demandes, Uber a choisi de contester le processus que nous avons mis en place pour faire des demandes au nom des chauffeurs. Uber a tenté d'invalider les demandes que nous avons faites le 20 avril 2021 avec la réponse suivante :

« Merci pour vos e-mails. Sur la base des informations qui nous sont fournies, nous ne pouvons que conclure qu'Onfido pourrait être en mesure de vérifier si une personne est bien celle qu'elle prétend être, mais pas si les informations fournies correspondent à celles de son propre compte de conducteur sur l'application Uber. Le processus ne nous fournit pas non plus la preuve que les conducteurs concernés ont effectivement demandé à l'ADCU ou à WIE de les représenter dans l'exercice de leurs droits en tant que personne concernée.

Mis à part le fait que l'ADCU ou la WIE, ou tout autre organisme représentatif, en vertu du RGPD, puisse représenter les personnes concernées dans l'exercice de leurs droits, nous avons reçu plusieurs réponses de conducteurs indiquant qu'ils n'ont jamais autorisé l'ADCU ou la WIE à faire une telle demande sur leur nom. Dans quelques cas, cette demande a été qualifiée d'« arnaque ». Nous ne pouvons donc pas conclure sans aucun doute raisonnable que les personnes au nom desquelles vous faites une demande sont en réalité les titulaires des comptes de conducteur concernés. Et même si le processus peut vérifier l'identité d'une personne concernée, nous ne pouvons pas vérifier s'il s'agit de la bonne personne concernée. Conformément aux directives de l'ICO et à l'article 12 (6) du RGPD, nos processus sont conçus pour vérifier l'identité du titulaire du compte avant de divulguer des données personnelles.

Avec cette réponse, Uber a choisi de vérifier les demandes en envoyant l'e-mail suivant aux chauffeurs : (le message d'Uber fait référence à tort à ADCU plutôt qu'à WIE, car une demande similaire a été faite par ADCU le 2 mars 2021.)

« Uber a récemment reçu une demande de portabilité liée à votre adresse e-mail via l'App Drivers & Couriers Union (« ADCU »).

Uber a mis en place les mesures appropriées pour répondre à l'exercice des droits des personnes concernées conformément au règlement général de l'UE sur la protection des données (« RGPD »). La première étape pour y répondre est de vérifier sans aucun doute raisonnable l'identité du demandeur, afin de s'assurer qu'il s'agit bien du titulaire du compte qui fait la demande, et d'assurer la protection des données personnelles, notamment contre les accès non autorisés.

La demande reçue ne permet pas à Uber de vérifier l'autorisation donnée par la personne concernée pour une demande d'accès faite par un tiers, ni de vérifier sans aucun doute raisonnable l'identification du demandeur en tant que titulaire du compte. Nous rappelons également que pour l'exercice des droits d'accès ou de portabilité, la politique d'Uber est de toujours exiger une identification identique à l'identification utilisée pour ses services. L'identification est basée sur les identifiants en ligne collectés et vérifiés lors de la création du compte ou modifiés et revérifiés ultérieurement : l'adresse email, le numéro de téléphone, le mot de passe et le cas échéant un code PIN de vérification envoyé par SMS.

Par conséquent, Uber n'est pas en mesure de répondre à la demande reçue via ADCU. Afin que nous puissions traiter la demande de portabilité, et conformément aux directives de l'ICO, nous avons décidé de vous écrire directement et de vous demander de bien vouloir confirmer la demande en répondant à ce message via le support intégré à l'application.

De nombreux chauffeurs ont répondu à Uber pour confirmer les demandes. Un mois après la confirmation des demandes, Uber a écrit aux chauffeurs pour les informer qu'ils ne seraient pas en mesure de répondre à la demande dans les 30 jours suivant la réception et nécessiteraient un délai supplémentaire.

Uber a finalement commencé à traiter les demandes de portabilité des données vers la fin juin, plus de trois mois après la soumission de la demande initiale. Dans ces demandes de portabilité, Uber n'a partagé que six catégories de données, contenant des informations ou des documents soumis par les conducteurs eux-mêmes, citant la récente affaire de transparence (voir la réponse d'Uber ci-dessous pour le lien) que nous avons intentée contre Uber. Uber a affirmé que le tribunal avait confirmé la justification de la portabilité des données comme empêchant le verrouillage, qu'ils ont pris comme prétexte pour partager des données limitées :

« En référence à votre demande de portabilité des données, nous vous fournissons par la présente vos données et une explication des catégories de données fournies.

En raison des récents développements juridiques et de la jurisprudence relative à Uber ( http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RBAMS:2021:1020 ), nous avons évalué nos processus de réponse aux demandes de portabilité des données à faire nous assurer que nous respectons toutes les exigences applicables lorsque nous répondons à de telles demandes. À cet égard, nous avons pris en compte le fait que la raison d'être de la portabilité des données est d'éviter un « enfermement » de la personne concernée, comme l'a récemment confirmé le tribunal.

À la suite de cette évaluation, Uber fournira des données personnelles que vous avez sciemment et activement soumises à Uber et qui ne portent pas atteinte aux droits et libertés des passagers dans le cadre de la réponse à votre demande de portabilité.

Nous vous fournirons donc les catégories de données suivantes :

Informations sur le profil du compte du conducteur
Informations sur le profil du compte du passager
Documents du conducteur
Conducteur Contacts de confiance
Informations sur le profil du conducteur
Rider/Eater/Driver Emplacements enregistrés

Si aucune donnée n'a été fournie pour l'une des catégories ci-dessus, ce fichier pour cette catégorie restera vide.

Uber a ensuite commencé à renvoyer les demandes d'accès au sujet en septembre, près de cinq mois après le dépôt des demandes. Dans les réponses que nous avons reçues, nous avons finalement reçu la plupart des catégories de données que nous avions demandées et des explications sur les raisons pour lesquelles nous n'avons pas reçu celles que nous n'avons pas reçues.

"Merci pour vos e-mails. Sur la base des informations qui nous ont été fournies, nous ne pouvons que conclure qu'Onfido pourrait être en mesure de vérifier si un individu est bien celui qu'il prétend être, mais pas si les détails qu'il a fournis correspondent à ceux de son propre compte de conducteur sur l'application Uber. Le processus ne nous fournit pas non plus de preuves que les conducteurs concernés ont effectivement demandé à l'ADCU ou au WIE de les représenter dans l'exercice de leurs droits de personne concernée.

Outre le fait que l'ADCU ou le WIE, ou tout organisme représentatif, dans le cadre du RGPD peut ou non représenter les personnes concernées dans l'exercice de leurs droits , nous avons reçu de multiples réponses de conducteurs indiquant qu'ils n'ont jamais autorisé l'ADCU ou le WIE à faire une telle demande sur leur nom. Dans quelques cas, cette demande a été qualifiée d'"arnaque". Nous ne pouvons donc pas conclure sans aucun doute raisonnable que les personnes au nom desquelles vous effectuez une demande sont en réalité les titulaires des comptes de conducteur concernés. Et même si le processus peut vérifier l'identité d'une personne concernée, nous ne pouvons pas vérifier s'il s'agit de la bonne personne concernée. Conformément aux directives de l'ICO et à l'article 12 (6) du RGPD, nos processus sont conçus pour vérifier l'identité du titulaire du compte avant de divulguer des données personnelles. »

"Uber a récemment reçu une demande de portabilité concernant votre adresse e-mail via l'App Drivers & Couriers Union ("ADCU").

Uber a mis en place les mesures appropriées pour répondre à l'exercice des droits des personnes concernées conformément au règlement général de l'UE sur la protection des données ("RGPD"). La première étape pour y répondre consiste à vérifier sans aucun doute raisonnable l'identité du demandeur, afin de s'assurer qu'il s'agit bien du titulaire du compte auteur de la demande, et d'assurer la protection des données personnelles, notamment contre tout accès non autorisé.

La demande reçue ne permet pas à Uber de vérifier l'autorisation donnée par la personne concernée pour une demande d'accès faite par un tiers, ni de vérifier sans doute raisonnable l'identité du demandeur en tant que titulaire du compte. Nous rappelons également que pour l'exercice des droits d'accès ou de portabilité, la politique d'Uber est de toujours exiger une identification identique à celle utilisée pour ses services. L'identification est basée sur les identifiants en ligne collectés et vérifiés lors de l'ouverture du compte ou ultérieurement modifiés et revérifiés : l'adresse e-mail, le numéro de téléphone, le mot de passe et le cas échéant un pin de vérification envoyé par SMS.

Par conséquent, Uber n'est pas en mesure de se conformer à la demande reçue via l'ADCU . Afin que nous puissions traiter la demande de portabilité, et conformément aux directives de l'ICO, nous avons décidé de vous écrire directement et de vous demander de bien vouloir confirmer la demande en répondant à ce message via l'assistance intégrée.

"En référence à votre demande de portabilité des données, nous vous fournissons par la présente vos données et une explication des catégories de données fournies.

En raison des récents développements juridiques et de la jurisprudence relative à Uber ( http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RBAMS:2021:1020 ),

nous avons évalué nos processus de réponse aux demandes de portabilité des données pour nous assurer que nous nous conformons à toutes les exigences applicables lorsque nous répondons à ces demandes. À cet égard, nous avons tenu compte du fait que la raison d'être de la portabilité des données est d'empêcher un « verrouillage » de la personne concernée, comme cela a été récemment confirmé par le tribunal.

Suite à cette évaluation, Uber fournira les données personnelles que vous avez sciemment et activement soumises à Uber et qui ne portent pas atteinte aux droits et libertés des passagers dans le cadre de la réponse à votre demande de portabilité.

Nous vous fournirons donc les catégories de données suivantes :

Informations sur le profil du compte du conducteur
Informations sur le profil du compte du passager
Documents du conducteur
Contacts de confiance du conducteur
Informations sur le profil du conducteur
Passager/mangeur/chauffeur Emplacements enregistrés

Si aucune donnée n'a été fournie pour l'une des catégories ci-dessus, ce fichier pour cette catégorie restera vide. »

Cependant, malgré notre spécification pour qu'Uber traite les demandes par lots et nous informe à chaque étape du processus, Uber a choisi de traiter les demandes de manière fragmentaire et sans communication claire, ce qui crée des défis supplémentaires dans le suivi de l'achèvement des DSAR. .

Data Rights at Work: Litigation

Partie III : Exercice des droits sur les données au travail : Litiges

Cas d'Amsterdam

Les enjeux énumérés ci-dessus illustrent la nécessité de recourir au contentieux dans l'exercice des droits du travail numériques. À cette fin, Worker Info Exchange a aidé plusieurs groupes de conducteurs à porter trois affaires distinctes contre Ola et Uber devant le tribunal de district d'Amsterdam, invoquant les droits des conducteurs tels que définis par les articles 15, 20 et 22 du RGPD. Nous avons porté les cas en partenariat avec l'App Drivers & Couriers Union (ADCU) pour contester l'accès insuffisant aux données et la transparence dans la prise de décision algorithmique.

Notre objectif principal en portant ces cas était d'établir une norme de transparence pour les divulgations d'accès aux sujets et de portabilité des données qui peut être appliquée au niveau collectif et aller au-delà de la résolution des cas individuels des travailleurs. Avec ces cas, nous avons essayé d'établir que la charge de la preuve incombe au responsable du traitement de divulguer intégralement les catégories de données qu'il traite, y compris les catégories de données observées et déduites (référencées ci-dessus), dont nous soutenons que les personnes concernées ne peuvent pas avoir connaissance ou être spécifique, jusqu'à ce que le processeur de données s'engage d'abord à la transparence. Nous pensons que l'établissement d'une telle norme aiderait à créer un modèle reproductible pouvant être utilisé avec différentes entreprises de l'économie des concerts ainsi que dans différents secteurs et industries. Avec ce précédent en place, d'autres groupes et organisations pourraient collecter les mêmes données structurées et standardisées et contribuer à un écosystème de données plus riche et plus sain qui permettrait d'identifier et de contester les méfaits et les inégalités algorithmiques.

Aperçu

Le 20 juillet 2020, un groupe de chauffeurs a porté plainte contre Uber BV, qui est établie à Amsterdam et agit en tant que responsable du traitement en vertu du RGPD pour tous les traitements de données concernant les chauffeurs dans l'Union européenne (chauffeurs Uber c. Uber I). Le 9 septembre 2020, une plainte similaire a été déposée contre Ola (Ola drivers c. Ola). Ces cas remettaient en cause l'insuffisance des données partagées par les entreprises en réponse aux demandes d'accès aux sujets, qui étaient basées sur le document d'orientation d'Uber et le document de traitement des données d'Ola cités plus haut dans ce rapport. Dans le cas d'Uber, certains conducteurs manquaient jusqu'à 19 des 26 catégories de données énumérées dans le document d'orientation. De même, les chauffeurs d'Ola avaient pu obtenir une très petite partie des données qu'Ola collecte et traite à leur sujet.

De plus, le 26 octobre 2020, quatre chauffeurs Uber du Royaume-Uni ont déposé des plaintes plus spécifiques, exigeant la transparence de la prise de décision automatisée, y compris le profilage, ainsi que des informations sur la logique sous-jacente impliquée et les conséquences envisagées d'un tel traitement pour les chauffeurs ( Pilotes Uber contre Uber II). Dans chacun des cas, les chauffeurs ont été licenciés après qu'Uber a déclaré que ses systèmes avaient détecté une activité frauduleuse de la part des personnes concernées.

Le tribunal a rendu des arrêts le 11 mars 2021. Le tribunal a admis toutes les requêtes individuelles, à l'exception de celles de deux chauffeurs Uber. Dans les trois cas, le tribunal a rejeté l'argument d'Uber selon lequel les conducteurs prenant une action collective pour demander l'accès à leurs données constituaient un abus des droits de protection des données. Le fait que les requérants et le syndicat auquel ils étaient affiliés pouvaient avoir un autre intérêt à obtenir des données personnelles, à savoir les utiliser pour obtenir des éclaircissements sur leur position en droit du travail ou encore pour recueillir des preuves dans le cadre d'une procédure judiciaire contre Uber, ne constitue pas un tel abus. Ces considérations du tribunal ont indirectement reconnu le droit de tiers, tels que Worker Info Exchange, d'exercer les droits sur les données au nom des travailleurs.

Chauffeurs Uber c. Uber I : Le 20 juillet 2020, un groupe de chauffeurs a intenté une action contre Uber BV, qui est établie à Amsterdam et agit en tant que responsable du traitement pour tous les traitements de données concernant les chauffeurs dans l'Union européenne. Cette affaire a contesté l'insuffisance des données partagées par l'entreprise en réponse aux demandes d'accès au sujet, qui étaient basées sur le document d'orientation d'Uber cité précédemment dans ce rapport. Dans ce cas, il manquait à certains conducteurs jusqu'à 19 des 26 catégories de données énumérées dans le document d'orientation.

Ola Drivers contre Ola : Le 9 septembre, une plainte similaire a été déposée contre Ola Cabs . Dans ce cas, les DSAR étaient basés sur le document de traitement des données d'Ola. Comme dans l'affaire Uber, les chauffeurs d'Ola avaient pu obtenir une très petite partie des données qu'Ola collecte et traite à leur sujet.

Chauffeurs Uber contre Uber II : En outre, le 26 octobre 2020, quatre chauffeurs Uber du Royaume-Uni ont déposé des plaintes plus spécifiques, exigeant la transparence de la prise de décision automatisée, y compris le profilage, ainsi que des informations sur la logique sous-jacente en jeu et les conséquences envisagées d'un tel traitement pour les chauffeurs. Dans chacun des cas, les chauffeurs ont été licenciés après qu'Uber a déclaré que ses systèmes avaient détecté une activité frauduleuse de la part des personnes concernées.

"Les travailleurs ne peuvent contester efficacement les décisions que s'ils savent comment ou pourquoi elles ont été prises. Dans ce contexte, la connaissance est synonyme de pouvoir. La transparence et des règles strictes peuvent donner du pouvoir aux travailleurs à l'ère numérique. Mais pour mettre fin à l'ère du "l'ordinateur dit non" au travail, nous avons besoin d'un nouvel ensemble solide de droits du travail numérique pour le 21e siècle. Outre la transparence, nous devons mettre fin à l'arbitraire, à la surveillance constante et à la charge de travail extrême qui accompagnent le fait d'avoir un algorithme en tant que gestionnaire. Les plateformes ne doivent plus pouvoir se cacher derrière leurs algorithmes et aggraver le déséquilibre de pouvoir entre employeur et employé grâce à la technologie. »

Kim van Sparrentak, eurodéputée

Uber Drivers v Uber I

Chauffeurs Uber contre Uber I
(Demandes générales de transparence)

Dans cette affaire, le tribunal a rejeté certaines des plaintes des chauffeurs Uber pour un certain nombre de raisons. Tout d'abord, le tribunal jugea que, dans les circonstances de l'espèce, il ne suffisait pas que les requérants invoquent le principe de transparence. Uber a été autorisé, conformément au considérant 63 du RGPD, à demander une spécification des données personnelles que les candidats souhaitent recevoir car il a traité une grande quantité de données. La demande concernant un certain nombre de catégories de données (par exemple, le comportement de conduite) a donc été refusée.

Le tribunal a jugé que les renvois ou signalements internes qui figuraient dans le profil du conducteur tenu par la direction ne contenaient aucune information sur la personne concernée qui puisse être vérifiée par la personne concernée elle-même. Dans ce cas, le profil de conducteur auquel il est fait référence était un profil apparemment géré par le personnel de soutien qui mettait à jour le profil avec des notes et des étiquettes relatives aux plaintes, commentaires et requêtes des clients et/ou des conducteurs. Uber n'était donc tenu de fournir que les données sur les candidats qui constituent la base factuelle des notes conservées et non les notes et balises internes conservées par la direction, ce qui, selon nous, équivaut à un suivi et à une gestion des performances.

Les chauffeurs ont demandé des informations sur les données traitées dans le système de tarification initial d'Uber, qui détermine une tarification fixe pour les clients avant le début d'un trajet, sur la base d'un itinéraire prévu que le chauffeur est censé suivre. Cependant, le tribunal a noté que les chauffeurs n'avaient pas justifié qu'ils souhaitaient pouvoir vérifier l'exactitude et la licéité du traitement des données. Cette partie de la demande a donc été considérée comme rien de plus qu'un "souhait d'avoir un aperçu" de la manière dont Uber utilise les algorithmes pour gérer les performances des trajets. Le tribunal a conclu que l'art. 15 GDPR ne soutient pas cet objectif.

Le tribunal a également rejeté la demande d'informations sur la prise de décision automatisée et le profilage liés à la répartition du travail. S'il était évident que le système de mise en correspondance par lots et le système de tarification initiale avaient un certain impact sur l'exécution de l'accord entre Uber et le chauffeur, le tribunal n'a vu aucune preuve d'une conséquence juridique ou d'un effet significatif, comme indiqué dans les lignes directrices et art. 15 (1) sub h GDPR.

Enfin, le tribunal a estimé que l'article 20 du RGPD n'obligeait pas Uber à fournir certaines catégories de données personnelles dans un fichier csv ou au moyen d'une API. À l'exception des données fournies au format pdf, Uber avait fourni les données personnelles dans un format permettant aux requérants de transmettre ces données à un autre responsable du traitement, comme l'exige l'article 20.

Le tribunal a également examiné si certaines catégories de données devaient être transférées dans un format lisible par machine. Les catégories de données en question comprenaient les « tickets Zendesk », les « plaintes du conducteur » et les « factures ». Le tribunal a jugé que ces catégories de données n'entraient pas dans le champ d'application de l'article 20 du RGPD, car les données n'avaient pas été fournies à Uber par le demandeurs eux-mêmes. Par conséquent, le tribunal n'a vu aucune raison d'ordonner à Uber de transférer ces documents dans un format autre que le format pdf.

Le tribunal a décidé que la demande des conducteurs de transfert de données personnelles au format csv était fondée sur un souhait d'agréger les données pour améliorer leur position de négociation collective, et que la finalité de la portabilité des données est d'éviter le verrouillage. Bien que cela ne nous ait pas présenté de difficulté immédiate, l'analyse par le tribunal de la limitation des droits de portabilité des données aux fins de la création d'une fiducie de données est intéressante. À notre avis, le droit des travailleurs de négocier est conforme à l'objectif de l'article 20 d'empêcher le blocage.

Pilotes Ola contre Ola
(Demandes générales de transparence)

Le jugement dans l'affaire contre Ola Cabs a abouti à quelques victoires importantes. Ola a reçu l'ordre de divulguer :

Dans le cas d'un demandeur, le tribunal a décidé qu'une décision d'effectuer des retenues sur les revenus du conducteur équivalait à une décision automatisée sans intervention humaine. Nous pensons que c'est la première fois qu'une décision algorithmique est qualifiée de décision automatisée au sens de l'art. 22 RGPD par un tribunal européen.

Ola a été sommée de fournir des informations sur les choix effectués, les données utilisées et les hypothèses sur la base desquelles la décision automatisée a été prise, de manière transparente et vérifiable. Ola a également été sommée de communiquer les principaux critères d'évaluation et leur rôle dans la décision automatisée, afin que les conducteurs puissent comprendre le fondement des décisions et vérifier l'exactitude et la licéité du traitement des données.

1) Données de notation, sous forme anonymisée, dans la mesure où ces données n'étaient pas disponibles via l'application Ola.
2) Les données personnelles des candidats qui ont été utilisées pour générer des « scores de probabilité de fraude » et des « profils de revenus » qui ont été conservés pour chaque conducteur.
3) Les données personnelles des candidats qui ont été utilisées dans le système de surveillance d'Ola's Guardian pour identifier ce qu'Ola décrit comme une "activité de voyage irrégulière".

Ola driers v. Ola

Uber Drivers v. Uber II

Chauffeurs Uber contre Uber II

(Transparence sur la prise de décision automatisée)

Dans l'affaire du groupe de chauffeurs qui a déposé le 20 juillet 2020, le tribunal a rejeté l'allégation selon laquelle la décision de mettre fin à l'emploi des chauffeurs était fondée uniquement sur une prise de décision automatisée conformément à l'article 22 du RGPD. En l'absence de preuve contraire, le tribunal a accepté le récit d'Uber sur ses procédures internes et a conclu qu'il y avait eu une intervention humaine significative dans chacun de ces cas.

Cependant, le jugement a également produit une victoire importante. En ce qui concerne deux des requérants, le tribunal a estimé qu'Uber n'avait pas précisé quelles actions frauduleuses spécifiques avaient entraîné la désactivation de leurs comptes. Sur la base des informations fournies par Uber, ces candidats n'ont pas pu vérifier quelles données personnelles Uber a utilisées dans le processus décisionnel automatisé qui a conduit à la décision de mettre fin à leur emploi. En conséquence, la décision de désactiver leurs comptes n'était pas suffisamment transparente. Uber a donc été sommé de donner accès aux données personnelles utilisées pour la décision de désactiver leurs comptes, de manière à ce que les candidats puissent vérifier l'exactitude et la licéité du traitement des données.

Pour les six chauffeurs qui ont porté plainte le 26 octobre 2020, Uber n'a pas défendu ces affaires et un jugement par défaut a été rendu en faveur des chauffeurs le 24 février 2021. Uber a été condamné à réintégrer les chauffeurs et à verser une indemnité pour perte de revenus. ainsi que des dommages. De nombreux chauffeurs londoniens ont vu leur permis révoqué par Transport for London suite aux allégations d'activités frauduleuses d'Uber. Nous avons soutenu tous les conducteurs qui ont fait appel de la révocation devant le tribunal de première instance de la ville de Londres et tous ont vu la décision de révocation annulée. Voir plus à ce sujet dans la section Appels de Londres de ce rapport.

Appels

Actuellement, les trois jugements dans les affaires Uber et Ola sont pendants devant la Cour d'appel d'Amsterdam. Dans ses décisions du 11 mars 2020, le tribunal de district d'Amsterdam a jugé que les chauffeurs étaient recevables. Le recours d'Uber et Ola pour abus de droit a été rejeté. De plus, plusieurs demandes des conducteurs ont été acceptées, telles que la demande d'accès concernant l'utilisation des systèmes de surveillance des conducteurs et les données utilisées comme base du licenciement abusif de deux conducteurs.

Néanmoins, une grande partie des demandes d'accès ont été rejetées. Nous pensons que dans plusieurs cas, le tribunal a appliqué une interprétation trop étroite ou incorrecte du principe de transparence et des droits des personnes concernées. Le tribunal a également semblé aux prises avec la complexité technique et juridique du traitement des données par Uber.

En appel, les chauffeurs soulèvent notamment les objections suivantes à l'encontre de la décision du tribunal de district :

1) La considération selon laquelle les chauffeurs auraient dû mieux préciser leurs demandes est erronée ;
2) Les balises, les rapports, les évaluations et les données GPS entrent dans le cadre du droit d'accès.
3) Uber et Ola ne peuvent refuser l'accès en invoquant les "droits et libertés" des passagers.
4) Le tribunal de district n'a pas reconnu que les décisions d'Uber concernant la désactivation des chauffeurs étaient qualifiées de décisions automatisées au sens de l'art. 22 GDPR, puisque ces décisions ont considérablement affecté les chauffeurs et qu'Uber n'a pas montré de preuve d'ingérence humaine significative.

Appeals

Cas d'appel en matière de licences à Londres

Un déluge de plaintes

Au cours de l'année écoulée, nous avons soutenu plus d'une douzaine de conducteurs alors qu'ils poursuivaient des recours devant les tribunaux contre décisions prises par Transport for London (TfL) de révoquer les permis de conduire après des allégations de fraude basée sur des applications de la part d'opérateurs tels qu'Uber. TfL est responsable de l'octroi de licences et de la réglementation du commerce des taxis et des VTC sur un marché à deux niveaux, réglementé séparément en vertu d'une législation différente. TfL est chargé d'évaluer l'aptitude des conducteurs et des opérateurs à obtenir une licence et les opérateurs sont tenus de renvoyer tous les licenciements de conducteurs au régulateur pour une évaluation de l'aptitude.

Les demandes d'accès à l'information ont révélé que TfL a reçu 10 169 notifications de licenciements de chauffeurs de la part d'opérateurs de location privés agréés à Londres pour la période de douze mois se terminant le 31 août 2021. Cela représente une augmentation de 123 % par rapport à la même période l'année précédente. Pour la période, TfL a indiqué qu'il y avait un total de 105 000 chauffeurs de location privés sous licence et 78 000 véhicules de location privés sous licence disponibles. Étant donné que les permis de conduire ont une durée de trois ans contre un an pour le permis de conduire, ce dernier est normalement considéré comme un indicateur plus fiable du nombre réel de conducteurs actifs disponibles pour la période. Mais pendant toute la durée de la pandémie, la demande de services de covoiturage a été considérablement réduite , Uber signalant des réservations en baisse de 50 % en moyenne sur l'année.

Il est probable que la majorité des rapports proviennent d'Uber en tant que plus grand opérateur de location privé à Londres. Cela pourrait représenter jusqu'à 20 % de la main-d'œuvre disponible pour la période licenciée. Nous suggérons qu'étant donné les volumes et le manque d'implication humaine significative dans la décision de licenciement, bon nombre de ces décisions ont été prises et exécutées par des moyens automatisés et semi-automatisés.

London Licensing Appeal Cases

Ces licenciements sont souvent dus à des problèmes liés au système d' identification en temps réel (RTID) d'Uber : reconnaissance faciale et contrôles de géolocalisation (comme discuté dans les cas de Pa Edrissa Manjang et Aweso Mowlana), qui déterminent à tort que les conducteurs s'engagent dans le partage de compte, s'il s'avère que plusieurs appareils liés au compte du conducteur y « accèdent » à partir d'emplacements disparates à peu près au même moment. Dans un autre cas que nous avons examiné , nous avons pu récupérer un ensemble de données supplémentaire appelé les données en ligne/hors ligne du conducteur, qui "fournit des données sur le moment où le conducteur s'est connecté et hors ligne, également appelé" état du conducteur ". Les différents états dans lesquels le conducteur peut se trouver sont Ouvert, En route, En voyage et Hors ligne. Nous avons ensuite comparé les données de localisation des deux appareils avec les données en ligne/hors ligne du pilote. Cela a également révélé que seul l'appareil transporté par le conducteur avait été utilisé pour se connecter.

Pressions réglementaires

Ces cas mettent en évidence des problèmes importants concernant la manière dont la fraude des travailleurs est définie dans les politiques de l'entreprise de la plate-forme. Comme nous l'avons mentionné précédemment dans le rapport, il est clair que ces cas ne font pas référence à des actes de fraude criminelle, mais plutôt à des échecs dans le respect de paramètres de performance définis de manière opaque. Le succès de l'annulation de ces décisions de révocation dépend donc principalement du non-respect par Uber de nos DSAR et de fournir la moindre preuve de fraude ou d'acte répréhensible. Cela a été souligné à plusieurs reprises devant les tribunaux, où il a été noté qu'à aucun moment de ces affaires, il n'y avait eu de risque pour le public, et que TfL avait procédé directement à la révocation, sans aucune enquête sur les événements réels.

C'est à ce niveau d'application de la réglementation que nous constatons un manque cruel de contrôle, non seulement perpétuant l'automatisation mise en mouvement par les plateformes de concerts, mais aussi l'encourageant. Il est prouvé que le régulateur a également exigé la détection et le signalement anti-fraude, ce que les opérateurs sont contraints de faire au risque de perdre leur propre licence. Les documents judiciaires de l'appel de licence d'Uber en 2020 révèlent que TfL a examiné l'évaluation de l'impact sur la protection des données (DPIA) pour le système RTID en mars 2020. Notre demande FOI à TfL de nous fournir une copie de la DPIA a été refusée en raison de la nécessité de TfL maintenir la confidentialité avec Uber en tant qu'entité réglementée.

En 2015, TfL a publié une proposition de consultation pour : " en faire une exigence que les plates-formes basées sur les applications aient, et puissent démontrer lors des vérifications préalables à l'octroi de licences et des inspections de conformité, des mesures de sécurité appropriées pour empêcher l'application d'être utilisée par une personne autre que le conducteur titulaire d'une licence à laquelle elles attribuent des réservations." TfL a poursuivi en précisant la solution technologique qu'ils espéraient voir : « Nous préférons que les opérateurs conçoivent un système dans lequel, lorsqu'il est disponible pour travailler pour un opérateur, le conducteur doit se reconnecter périodiquement à son application de réservation, par exemple via un facial ou un la technologie des empreintes digitales, minimisant ainsi la possibilité que le compte soit utilisé par un autre conducteur.

L'évaluation d'impact intégrée de la réglementation indépendante n'a pas permis d'identifier l'ampleur du problème que TfL cherchait à résoudre, notant "qu'il existe actuellement une absence de données à l'échelle de l'industrie sur le niveau de sécurité actuellement en place". Ce qui est encore plus préoccupant, c'est que l'évaluation d'impact n'a pas reconnu l'impact sur les conducteurs de l'imposition d'une technologie de surveillance invasive du lieu de travail, bien qu'elle ait reconnu l'impact sur les coûts pour les opérateurs et les avantages mineurs à modérés pour les passagers.

En fin de compte, aucune proposition n'a été avancée, mais TfL s'est engagé à "explorer les options pour s'assurer que lorsque les opérateurs utilisent des plates-formes basées sur des applications, celles-ci sont sûres et sécurisées et ne peuvent pas être utilisées frauduleusement". Cependant, malgré l'absence de norme réglementaire, TfL a encouragé l'introduction de telles normes comme condition d'octroi de licence pour Uber, Free Now et peut-être d'autres. En effet, TfL a établi une norme réglementaire de facto et a catalysé une course aux armements de surveillance dans l'économie des concerts, mais l'a fait sans l'examen public approprié d'un processus réglementaire.

« Il est extrêmement inquiétant que les travailleurs de l'économie des concerts risquent de voir leur droit d'accéder à leurs données au travail si restreint et les protections contre les décisions automatisées telles que le profilage des performances, l'attribution du travail et même les robo-licenciements éteintes.

Cet abus sert à souligner pourquoi nous devons avoir un nouvel accord pour tous les travailleurs qui offre un statut d'emploi unique à tous les travailleurs, à l'exception des véritables travailleurs indépendants, avec tous les droits et protections dès le premier jour.

Il est clair que les entreprises exploiteront pleinement les opportunités que leur offre le faux travail indépendant pour abuser et exploiter leur main-d'œuvre, à moins que cette opportunité ne soit fermée par une législation garantissant des droits et des protections fondamentaux en matière d'emploi pour tous.

Andy McDonald, député

Conclusion

Malgré les récents gains devant les tribunaux dans diverses juridictions, les problèmes fondamentaux de la précarité dans l'économie des petits boulots demeurent. Même là où les droits des travailleurs ont été affirmés, comme au Royaume-Uni, il n'y a pas eu d'application plus large par le gouvernement. Cela laisse les travailleurs avec peu d'alternatives aux litiges, s'ils ont les ressources pour le faire. Le statut de travailleur en tant que classification de l'échelon inférieur est toujours insuffisant pour les travailleurs à la demande, car il n'offre aucune protection contre le licenciement abusif. Le fait de ne pas payer le temps d'attente en tant que temps de travail permet aux plateformes de profiter de l'immédiateté de la disponibilité pour augmenter le temps de réponse des clients tout en réduisant les revenus des travailleurs.

Tous ces problèmes sont aggravés par le non-respect par les plateformes des droits numériques des travailleurs. Notre rapport montre des niveaux de transparence terriblement insuffisants quant à l'étendue de la gestion algorithmique et de la prise de décision automatisée auxquelles les travailleurs sont soumis dans l'économie des concerts. Les travailleurs se voient carrément refuser l'accès à leurs données personnelles, sont frustrés dans leur demande ou reçoivent simplement une déclaration incomplète.

Ici aussi, nous constatons que les lois sont faiblement appliquées et que l'étendue de la protection est insuffisante. Les protections de l'article 22 contre la prise de décision automatisée injuste offrent des options d'évasion aux employeurs qui peuvent réclamer un examen humain superficiel pour approuver automatiquement les décisions injustes prises par une machine. La prolifération du profilage, générée par l'apprentissage automatique, peut rendre extrêmement difficile pour les travailleurs de découvrir, comprendre ou tester l'équité de la prise de décision automatisée concernant les fondamentaux du lieu de travail tels que la répartition du travail, la gestion des performances et les mesures disciplinaires. Même lorsque des divulgations sont faites, nous ne pouvons d'abord obtenir qu'une vision unidimensionnelle du traitement des données personnelles, alors que pour vraiment comprendre la gestion algorithmique au travail, nous devons comprendre l'interaction entre les fonctions de gestion algorithmique distinctes.

La nouvelle proposition de directive de l'UE a fait de grands progrès dans l'identification de nouvelles protections importantes pour les travailleurs des plateformes d'économie à la demande en Europe, telles que la présomption d'emploi et des protections renforcées contre la prise de décision automatisée injuste. Mais les erreurs de classification continueront de remettre en cause ce processus si les employeurs voyous continuent de dissimuler de véritables décisions de gestion des performances et une surveillance intensive derrière l'étiquette de prévention anti-fraude.

Il faut du temps et de l'argent pour accéder à un recours devant les tribunaux, et les travailleurs précaires ont besoin de solutions plus rapides pour être efficaces. C'est pourquoi les travailleurs doivent améliorer leur pouvoir de négociation par la syndicalisation et l'action collective. La capacité des travailleurs à accéder à leurs données et à les mettre en commun est donc une force puissante d'organisation qui n'est pas encore correctement exploitée. Lorsque les travailleurs pourront mieux contrôler leurs données, ils pourront mieux contrôler leur destin au travail.

Ce rapport a été rédigé par Cansu Safak et James Farrar.

Avec nos remerciements à Anton Ekker pour ses contributions et à l'App Drivers and Couriers Union (ADCU), Bama Athreya et Yaseen Aslam pour leur soutien continu.

Ce travail a été rendu possible grâce au soutien de la Fondation Mozilla, Digital Freedom Fund
et Open Society Foundations.

Illustrations par Avantika Mohapatra.

Publié le 13 décembre 2021

Si vous avez des questions ou souhaitez entrer en contact, veuillez envoyer un e-mail à : office@workerinfoexchange.org

Acknowledgments

Vos données,
votre pouvoir.

Vos données,
votre pouvoir.

Géré par Bot : Exploitation basée sur les données dans l'économie du gig

introduction

Partie I : Mauvaise classification 2.0 Contrôlé par algorithme

Partie I : Mauvaise classification 2.0 Contrôlé par algorithme

Étude de cas de surveillance I : Échec de la reconnaissance faciale

Étude de cas de surveillance II : Vérifications de la géolocalisation

Étude de cas : contrôle algorithmique

Expansion de l'infrastructure d'application de la loi

Étude de cas : partage de renseignements avec les forces de l'ordre

Partie II : Exercice des droits sur les données au travail : accès

Études de cas : DSAR individuels

Réponses circulaires et futiles

Partage de données incohérent et incrémentiel

Obfuscation et résistance

Études de cas : réponses de la plate-forme à

Demandes par lots par l'échange d'informations sur les travailleurs

Deliveroo

Gratuit maintenant

Amazon Flex

Juste manger

Ola

Uber

Partie III : Exercice des droits sur les données au travail : Litiges

Cas d'Amsterdam

Chauffeurs Uber contre Uber I
(Demandes générales de transparence)

Pilotes Ola contre Ola
(Demandes générales de transparence)

Chauffeurs Uber contre Uber II

(Transparence sur la prise de décision automatisée)

Appels

Cas d'appel en matière de licences à Londres

Un déluge de plaintes

Conclusion

Géré par Bot : Exploitation basée sur les données dans l'économie du gig

introduction

Partie I : Mauvaise classification 2.0 Contrôlé par algorithme

Partie I : Mauvaise classification 2.0 Contrôlé par algorithme

Étude de cas de surveillance I : Échec de la reconnaissance faciale

Étude de cas de surveillance II : Vérifications de la géolocalisation

Étude de cas : contrôle algorithmique

Expansion de l'infrastructure d'application de la loi

Étude de cas : partage de renseignements avec les forces de l'ordre

Partie II : Exercice des droits sur les données au travail : accès

Études de cas : DSAR individuels

Réponses circulaires et futiles

Partage de données incohérent et incrémentiel

Obfuscation et résistance

Études de cas : réponses de la plate-forme à

Demandes par lots par l'échange d'informations sur les travailleurs

Deliveroo

Gratuit maintenant

Amazon Flex

Juste manger

Ola

Uber

Partie III : Exercice des droits sur les données au travail : Litiges

​

Cas d'Amsterdam

Chauffeurs Uber contre Uber I (Demandes générales de transparence)

Pilotes Ola contre Ola (Demandes générales de transparence)

Chauffeurs Uber contre Uber II

(Transparence sur la prise de décision automatisée)

Appels

Cas d'appel en matière de licences à Londres

​

Un déluge de plaintes

Conclusion

Chauffeurs Uber contre Uber I
(Demandes générales de transparence)

Pilotes Ola contre Ola
(Demandes générales de transparence)