Date de l'amende:
22/7/2021
Structure ou entité mise en cause :
Quelle est la base légale ?
Détail des faits
La DPA italienne (Garante) a infligé une amende de 2 500 000 EUR au service de livraison de nourriture Deliveroo Italy srl pour avoir traité illégalement les données personnelles d'environ 8 000 chauffeurs. L'enquête de Garante a révélé de nombreuses et graves violations de la protection des données. Les violations comprenaient un manque de transparence dans les algorithmes utilisés pour gérer les chauffeurs, à la fois lors de l'attribution des tâches et lors de la réservation des quarts de travail. Deliveroo avait utilisé un système centralisé de gestion des chauffeurs à travers lequel il traitait et gérait ensuite l'attribution des commandes ainsi que la réservation des quarts de travail. Cependant, Garante note que le contrôleur n'a pas suffisamment informé les conducteurs sur le fonctionnement du système qu'ils avaient installé sur leurs smartphones, et n'a pas assuré l'exactitude et l'exactitude des résultats des systèmes algorithmiques utilisés pour évaluer les conducteurs. De plus, Garante a constaté que Deliveroo effectuait un contrôle minutieux des performances de travail des chauffeurs - grâce à la géolocalisation continue de leur appareil, qui allait bien au-delà de ce qui était nécessaire pour attribuer la commande (par exemple, enregistrer la position toutes les 12 secondes) - et par le stockage d'une grande quantité de données personnelles collectées lors de l'exécution des commandes, y compris la communication avec le service client. Dans ce contexte, la durée de conservation des différentes données n'avait pas été définie de manière appropriée à la finalité. Au lieu de cela, le contrôleur avait défini une période de stockage forfaitaire de six ans. En outre, le Garante a constaté que le responsable du traitement n'avait pas mis en œuvre les mesures techniques et organisationnelles adéquates pour assurer une sécurité adéquate du traitement. Deliveroo Italie n'avait pas non plus réalisé d'analyse d'impact sur la protection des données, bien que cela aurait été nécessaire en raison du risque posé aux conducteurs.