Articles

Le paradoxe du management algorithmique. Partie II : Évaluation de la protection du travailleur du clic à partir du droit des données à caractère personnel

Quentin PAK
Publié : 18 December 2025
DOI : https://doi.org/10.62688/RPN20259822

Résumé


Cette contribution propose une analyse juridique du paradoxe du management algorithmique. En effet, du point de vue des micro-travailleurs, l’algorithme est certes invisible, mais ses fonctionnalités managériales (contrôle, évaluation, prescription, etc.) ne le sont pas. Ses décisions peuvent ainsi leur causer divers préjudices. Face à ce paradoxe, des pistes de régulation sont proposées, telles que la mise en place d’une transparence algorithmique ou du droit à l’explicabilité de ses décisions. De surcroît, le droit des données à caractère personnel s’applique également, puisque l’algorithme ne peut fonctionner sans les données des micro-travailleurs. Dès lors, nous évaluons les dispositions en vigueur afin de déterminer si cette réglementation est en mesure de protéger les micro-travailleurs non-salariés face au système du management algorithmique mis en place par l’opérateur de plateforme.


Introduction

Les micro-travailleurs peuvent-ils trouver, dans l’ordre juridique, des mécanismes protecteurs face aux systèmes de management algorithmique ? Cette question constitue la problématique de cette contribution. Pour y répondre, il convient de définir préalablement quelques notions clés. Tout d’abord, la notion de protection. Selon nous, la « protection » revêt deux dimensions. D’une part, une dimension positiviste qui invite à identifier d’éventuels mécanismes de protection au sein du droit positif. D’autre part, une dimension prospective qui incite à envisager de potentielles réformes susceptibles d’établir ou renforcer, le cas échéant, une telle protection. Dans le cadre de notre article, nous nous concentrerons principalement sur la première dimension.

La protection est aussi un terme polysémique. En effet, d’aucuns l’envisagent sous l’angle de la liberté individuelle. C’est, par exemple, le cas de Suzanne Vergnolle, qui définit la protection des personnes comme « la reconnaissance pour chaque personne d’un espace d’autodétermination lui permettant de faire ses propres choix en termes de déplacement, de domicile ou de vie privée, sans intervention d’une autre personne ou d’une autorité publique » (Vergnolle, 2022). À partir de cette conception, elle a pu déterminer une série de conditions afin d’améliorer l’effectivité de la protection des personnes à travers le droit de la protection des données à caractère personnel.

Nous retiendrons quant à nous une définition plus large. La protection désignera la « précaution qui, répondant au besoin de celui ou de ce qu’elle couvre et correspondant en général à un devoir pour celui qui l’assure, consiste à prémunir une personne […] contre un risque, à garantir sa sécurité, son intégrité, etc., par des moyens juridiques ou matériels » (Cornu & Association Henri Capitant, 2023). Dès lors, penser la protection implique de procéder à une opération d’évaluation sur la capacité du droit à anticiper un risque et en préserver les personnes qui y sont exposées.

En l’espèce, le risque désigne l’éventuel préjudice causé par les décisions du système de management algorithmique ; et les personnes exposées, ce sont les micro-travailleurs.

En l’occurrence, la situation des micro-travailleurs interroge, car des doutes subsistent concernant la nature de leur activité et donc du statut juridique qui s’applique à eux. Sont-ils des travailleurs ou des consommateurs ? S’ils sont des travailleurs, sont-ils des travailleurs salariés ou indépendants ? Jusqu’ici, la Cour de cassation considère que les micro-travailleurs n’effectuent pas une prestation de travail sous un lien de subordination1. Ils sont donc, pour le moment, exclus du salariat. Pour autant, des incertitudes demeurent. En effet, bien que la question relative à la nature juridique de leur prestation fût posée à la chambre sociale par la chambre criminelle, celle-ci a soigneusement évité d’y répondre2. Le débat a été ainsi recentré autour du critère du lien de subordination juridique en laissant sans réponse la question relative à la nature de la prestation du micro-travailleur. Or l’enjeu est de taille. Effectivement, la directive 2024/2831, relative à l’amélioration des conditions de travail dans le cadre du travail via une plateforme, prévoit un chapitre relatif à la gestion algorithmique. Toutefois, ce chapitre ne saurait s’appliquer que si le micro-travailleur assure une prestation de travail, ce qui reste à démontrer. Tant que cette incertitude relative à la nature de sa prestation subsiste, nous ne pourrons pas nous appuyer sur cette directive, même si, selon nous, les micro-travailleurs réalisent bien une prestation de travail (Pak, 2023).

Ces limites ayant été exposées, nous allons partir de l’hypothèse que les micro-travailleurs ne sont pas des travailleurs salariés. Dans cette optique, nous tenterons de déterminer si le droit positif est en mesure de protéger les micro-travailleurs des éventuels préjudices qu’ils pourraient subir du fait de l’usage d’un système de management algorithmique (tel que le refus d’accès au service, les décisions discriminatoires, le prononcé d’une sanction ou la mise en place d’un blocage injustifié, etc.).

Notre étude sera divisée en deux parties. Dans un premier temps, nous analyserons le rapport entre l’objet (l’algorithme) et les sujets de droit, à savoir d’un côté, les micro-travailleurs et de l’autre l’opérateur de plateforme (I). Cette première partie nous permettra d’établir que l’usage d’un algorithme, à des fins de management, a pour conséquence l’application aux micro-travailleurs du droit relatif à la protection des données à caractère personnel. Or, l’application de ce droit a pour effet de transformer le rapport d’objet à sujet, en un rapport entre deux sujets de droit, à savoir le responsable du traitement (l’opérateur de plateforme) et les personnes concernées par le traitement (les micro-travailleurs). À l’issue de cette première partie, qui est indispensable à notre démonstration, nous allons examiner si la législation relative à la protection des données personnelles permet d’octroyer aux micro-travailleurs une protection juridique adéquate (II).

I. Du rapport objet de droit — sujets de droit

L’usage d’un algorithme à des fins d’organisation et de gestion d’une relation de travail est une donnée relativement nouvelle, caractéristique du travail réalisé via les plateformes numériques. Dans notre cas, l’algorithme est conçu par l’opérateur de plateforme (A). Toutefois, il ne peut fonctionner sans les données des micro-travailleurs (B).

A. L’algorithme par rapport à l’opérateur de plateforme

Le lien entre l’opérateur de plateforme et l’algorithme ne pose, a priori, aucune difficulté dans la mesure où l’opérateur conçoit l’algorithme et l’utilise dans le cadre de son activité. L’algorithme et l’opérateur de plateforme sont ainsi étroitement liés. Plusieurs dispositions le montrent. D’une part, au niveau du droit de l’Union européenne (UE), la qualification de plateforme numérique de travail repose notamment sur « l’utilisation de systèmes de surveillance automatisés ou de systèmes de prise de décision automatisés »3. D’autre part, en droit interne, une disposition légale, désormais abrogée, définissait, du moins en partie, l’opérateur de plateforme à partir de l’usage des algorithmes. Il s'agissait de l'ancien article L.111-7, I, 1° du Code de la consommation. Selon ce texte, l'opérateur de plateforme désignait « toute personne physique ou morale proposant, à titre professionnel, de manière rémunérée ou non, un service de communication au public en ligne reposant sur : 1° Le classement ou le référencement, au moyen d’algorithmes informatiques, de contenus, de biens ou de services proposés ou mis en ligne par des tiers ; 2° Ou la mise en relation de plusieurs parties en vue de la vente d’un bien, de la fourniture d’un service ou de l’échange ou du partage d’un contenu, d’un bien ou d’un service ». Les services de micro-travail remplissaient les deux critères. En effet, l’opérateur réalise, à la fois, un référencement des micro-tâches disponibles au moyen d’algorithmes (Renault, 2018 ; Barraud de Lagerie & Sigalo Santos, 2018) et, a priori4, une mise en relation entre le micro-travailleur et les clients (Casilli et al., 2019).

Si en sa qualité de concepteur, l’opérateur de micro-travail peut protéger l’algorithme sur le fondement du secret des affaires5 (Bougeard, 2021 ; G’Sell, 2020), cela ne signifie pas en revanche qu’il est en capacité de comprendre les différents algorithmes qu’il intègre au sein de son service. Aussi, les espoirs nourris par l’exigence de « transparence algorithmique », proposée par de nombreux auteurs, peuvent être relativisés (Cardon, 2015 ; Gamet, 2022)6. En effet, l’effectivité de la transparence algorithmique peut être questionnée par certaines difficultés d’ordre technique. Effectivement, l’algorithme est un langage issu de multiples traductions. De ce fait, pour le comprendre, il faut posséder un certain niveau de compétence technique. Or, même en ayant ce niveau de compétence, celui-ci peut s’avérer insuffisant, eu égard aux limites matérielles de la langue et, a fortiori, de la traduction. Dès lors, le droit à l’explication de la décision algorithmique7 demeure un enjeu majeur (qui fait, par ailleurs, encore l’objet d’obstacles : Merigoux et al., 2024). Bien que les propositions, qui recommandent de rendre les algorithmes intelligibles présentent une avancée certaine (Savoldelli, 2021), il ne faut pas perdre de vue les limites techniques précédemment évoquées. Enfin, même dans l’hypothèse où la traduction de la méthode algorithmique permettrait la parfaite compréhension du fonctionnement de l’algorithme, celle-ci ne saurait éviter le risque de préjudice, dans la mesure où la neutralité algorithmique est une pure illusion (G’Sell, 2020; Cardon, 2019).

Ces développements ont permis d’établir une première difficulté dans l’objectif qui consiste à assurer la protection des micro-travailleurs vis-à-vis des dérives du management algorithmique. En effet, bien que l’opérateur de micro-travail soit le concepteur de l’algorithme, il n’est peut-être pas capable de comprendre véritablement son fonctionnement et d’anticiper certains résultats. Dès lors, la transparence algorithmique et le droit à l’explicabilité de ses décisions sont des dispositifs imparfaits pour protéger les micro-travailleurs face aux risques auxquels ils sont exposés. Et pourtant, leurs données sont indispensables pour que l’algorithme fonctionne (B).

B. Le micro-travailleur par rapport à l’algorithme

Le micro-travailleur est dialectiquement lié à l’algorithme. D’un côté, il lui permet de fonctionner, puisque ses données sont indispensables au fonctionnement de l’algorithme (« L’algorithme sans données est aveugle. Les données sans algorithmes sont muettes » : CNIL, 2017). De l’autre côté, il est destinataire des décisions algorithmiques, lesquelles produisent des effets parfois préjudiciables à son égard. Ce dernier point a d’ores et déjà été exposé, d’une part, par la contribution de C. Sybord8, à travers les fonctions de l’algorithme en matière de management, et d’autre part, par certaines études juridiques (Gamet, 2022 ; G’Sell, 2020 ; Sereno, 2020 ; Savoldelli, 2021 ; Peyronnet, 2022). Pour notre part, comprendre que le micro-travailleur est un « fournisseur de données » permet d’envisager l’application du droit des données à caractère personnel. En effet, il existe peu de doutes quant au fait de savoir si les données utilisées par l’algorithme sont des données à caractère personnel9. Un algorithme a forcément besoin d’identifier individuellement le micro-travailleur lorsqu’il exécute une décision à son égard (sur la notion de décision : Huttner, 2024 & Adam, 2022). Par exemple, si l’algorithme exclut un micro-travailleur de la plateforme, il utilise nécessairement les données permettant de l’identifier, tel que son nom, son prénom, son adresse mail, ses identifiants de connexion au service, son adresse IP10, etc. Certes, cela n’est pas suffisant. Encore faut-il déterminer si les autres conditions d’application du RGPD sont remplies11. En l’occurrence, pour le cas des micro-travailleurs situés en France, cela ne pose aucune difficulté. L’algorithme, quant à lui, réalise bien des traitements au sens du RGPD12. Il constitue, plus précisément, un système de traitement automatisé de données.

L’application aux micro-travailleurs du droit de la protection des données à caractère personnel suppose de définir un responsable du traitement13 et une personne concernée par le traitement. Cette opération nous permet de passer d’une relation entre un sujet et un objet à une relation entre deux sujets de droit. Le responsable du traitement sera ainsi soumis à diverses obligations et la personne concernée par le traitement bénéficiera des droits qui lui sont reconnus. En l’espèce, l’opérateur de micro-travail étant le concepteur et l’usager de l’algorithme ainsi que le propriétaire de la plateforme de micro-travail, il détermine les finalités et les moyens du traitement. Il est donc le responsable du traitement. De son côté, le micro-travailleur fournit ses données à caractère personnel nécessaires au fonctionnement de l’algorithme. Il est donc la personne concernée par la collecte et le traitement de données. Micro-travailleur et opérateur de plateforme sont directement en relation. Par ce changement de perspective on évite la tentation d’un « fétichisme numérique » (Bouquin, 2023), qui aurait vocation à considérer la technologie numérique comme « une force autonome ». Il convient de rappeler au contraire que la technologie numérique est « un dispositif d’agencement des rapports sociaux de production » (Bouquin, 2023). Reste à savoir si la réglementation applicable à cette nouvelle relation permet d’assurer aux micro-travailleurs une protection adéquate face aux éventuels préjudices qu’ils pourraient subir du fait de l’usage d’un système de management algorithmique à leur égard. C’est ce que nous allons étudier désormais (II).

II. Au rapport inter-sujets de droit

Pour réaliser notre étude, nous allons procéder en deux temps. Nous analyserons d’abord la réglementation applicable lors de la collecte des données personnelles (A). Nous évoquerons ensuite celle applicable au moment du traitement des données personnelles collectées (B).

A. Lors de la collecte des données personnelles

Pour mettre en place un système de management algorithmique, le responsable du traitement doit, tout d’abord, collecter les données personnelles du micro-travailleur. Pour cela, plusieurs principes imposés par le RGPD doivent être respectés. Nous allons nous concentrer sur les principes susceptibles d’assurer une protection du micro-travailleur, afin d’en apprécier la véritable portée. Nous en retenons trois.

Tout d’abord, la collecte des données à caractère personnel doit être « licite, loyale et transparente »14. Les caractères loyal et transparent de la collecte renvoient essentiellement à l’obligation15 d’information16 qui pèse sur le responsable du traitement (corollaire du droit à l’information de la personne concernée). Le caractère licite suppose, quant à lui, que la collecte repose sur une base juridique appropriée pour le traitement envisagé.

En l’occurrence, trois bases juridiques17 peuvent justifier la mise en place d’un système de management algorithmique sur une plateforme de micro-travail. Les lignes directrices adoptées par le Groupe 29 (ou G29)18, le 3 octobre 201719, nous fournissent, de surcroît, quelques précisions essentielles. Il s’agit tout d’abord du « consentement » de la personne concernée par le traitement. Pour cette base, le G29 explique que le responsable du traitement devrait être en mesure de « démontrer que les personnes concernées comprennent exactement ce à quoi elles consentent », ce qui suppose de leur fournir une information complète. Ensuite, la collecte pourrait être justifiée par l’exécution d’un contrat. En l’occurrence, le traitement doit être, plus précisément, nécessaire à cette exécution. Cependant, cette condition est interprétée de façon restrictive. Enfin, la collecte pourrait se justifier par la protection d’un intérêt légitime. Cette troisième base juridique suppose toutefois que le responsable du traitement procède « à une mise en balance afin de déterminer si les intérêts ou les droits et libertés fondamentaux de la personne concernée prévalent sur ses propres intérêts ».

Une fois les caractères licite, loyal et transparent de la collecte établis, encore faut-il, que celle-ci se fasse dans le cadre de finalités « déterminées, explicites et légitimes »20. Il s’agit du principe de limitation des finalités. Ce principe a plusieurs fonctions. Premièrement, il assure aux personnes concernées un certain niveau de transparence, en leur indiquant les raisons pour lesquelles le responsable du traitement collecte et traite leurs données personnelles. Deuxièmement, il permet de contrôler que les données ne fassent pas l’objet de traitements ultérieurs incompatibles avec les finalités déterminées par le responsable du traitement. Enfin, il permet d’apprécier si le principe de minimisation, qui implique que la collecte soit limitée aux données strictement nécessaires à la réalisation des finalités déterminées, est respecté.

Ces trois principes, issus du RGPD, se rattachent clairement à une logique de protection de la personne, en l’occurrence du micro-travailleur. Cependant, elle est mise à mal par le fait que le responsable du traitement dispose de marges de manœuvres pour mettre en place un système de management algorithmique sans contrôle préalable. En effet, l’esprit du RGPD est guidé par le principe d’accountability21. Ce principe désigne l’obligation pour le responsable du traitement « de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données »22. Toutefois, il n’implique aucun contrôle préalable à la mise en place d’une collecte et d’un traitement de données à caractère personnel. Ce contrôle de conformité au RGPD n’a lieu qu’a posteriori, ce qui est incompatible avec l’idée d’anticipation du risque — condition sine qua non de la protection. De ce fait, ce principe constitue une limite majeure à la protection des micro-travailleurs face aux risques auxquels ils sont exposés lorsqu’un système de management algorithmique est utilisé par l’opérateur de micro-travail.

En revanche, l’analyse d’impact relative à la protection des données (AIPD), énoncée à l’article 35 du RGPD, pourrait apparaître comme un dispositif davantage efficace. En effet, l’AIPD est obligatoire lorsqu’un « type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques »23. La nécessité de réaliser une analyse d’impact, s’agissant des travailleurs de plateformes, est d’ailleurs prévu à l’article 8 de la directive 2024/2831, relative à l’amélioration des conditions de travail des travailleurs des plateformes. Elle doit, en l’occurrence, être fournie aux représentants des travailleurs lorsqu’ils sont salariés (article 8, 2°). Toutefois, ce n’est pas nécessairement le cas des micro-travailleurs24.

L’intérêt de l’AIPD réside dans la description du traitement ainsi que l’évaluation de sa nécessité et de sa proportionnalité par rapport aux finalités déterminées par le responsable du traitement. Elle suppose également une appréciation du traitement au regard des risques qu’il engendre pour les droits et les libertés des personnes concernées, ainsi qu’une réflexion autour des mesures protectrices à mettre en place préalablement au traitement. Dans cette hypothèse, nous sommes bien dans le cadre d’un mécanisme préventif. Cependant, encore faut-il savoir si cette AIPD doit être mise en œuvre dans le cadre du micro-travail. Selon nous, lorsque l’opérateur de micro-travail met en place un système de traitement automatisé de données, à l’instar d’un système de management algorithmique25, la réponse doit être positive.

De surcroît, l’AIPD peut faire l’objet d’une consultation préalable de la CNIL lorsque « le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque »26. Ainsi, l’AIPD présente toutes les caractéristiques d’un dispositif de protection. En effet, son édiction nécessite d’anticiper les effets d’un système de management algorithmique susceptibles de causer un préjudice aux personnes concernées. Cependant, la consultation préalable de la CNIL n’est pas systématique car elle est conditionnée par la présence d’un risque élevé, que le responsable du traitement doit être en mesure d’identifier. Il s’agit d’une limite découlant, une nouvelle fois, du principe d’accountability27. Bien sûr, en cas d’intervention de la CNIL, celle-ci jouerait un rôle actif, par la fourniture d’un avis écrit ou l’exercice de ses pouvoirs énoncés à l’article 58 du RGPD28. Dans cette dernière hypothèse, les manquements du responsable du traitement pourraient être sanctionnés. Néanmoins, nous observons que, de manière générale, la réglementation laisse peu de place à une protection in concreto.

En définitive, les exigences imposées par le RGPD lors de la collecte des données sont impuissantes à offrir une véritable protection au micro-travailleur face aux éventuels préjudices qu’ils peuvent subir du fait de l’usage d’un système de management algorithmique. Cela ne signifie pas, pour autant, que l’application du RGPD au micro-travail serait sans intérêt. Les principes de transparence, de limitation des finalités, de minimisation des données collectées ainsi que la nécessité de réaliser une AIPD en cas de risque élevé pour les droits et les libertés des personnes concernées, présentent un intérêt certain pour les micro-travailleurs. Toutefois, ces exigences ne leur offrent pas une protection adéquate dans la mesure où la logique du RGPD mise davantage sur la réparation ex-post du préjudice subi plutôt que sur sa prévention ex-ante. Autrement dit, le risque d’un préjudice n’est pas anticipé mais réparé, une fois qu’il s’est produit.

Aussi, un changement de logique serait selon nous, nécessaire. En effet, la confiance octroyée au responsable du traitement par le RGPD est incompatible avec une protection ex-ante. Le principe d’accountability devrait, selon nous, être remis en cause. Effectivement, l’exigence d’un consentement libre, spécifique, éclairé et univoque29, ne saurait pallier à ces faiblesses car elle n’est pas systématique. Par ailleurs, quand bien même elle le serait, le micro-travailleur n’aurait, de toute façon, pas vraiment de marges de manœuvre s’il souhaite réaliser des micro-tâches pour obtenir une rémunération. Il convient ainsi de conclure que la réglementation actuelle ne serait efficace que dans le cadre d’une contestation ex-post30.

D’aucuns pourraient alléguer toutefois, que les micro-travailleurs bénéficient de droits susceptibles d’être exercés à l’égard du responsable du traitement lorsque le traitement est mis en œuvre. Il convient, donc, de les analyser (B).

B. Lors du traitement des données personnelles

Lors du traitement des données à caractère personnel31, d’autres obligations incombent au responsable du traitement. Nous pouvons citer, par exemple, l’exigence de tenir un registre de traitement32. Certes, les entreprises de moins de 250 salariés ne sont pas soumises à cette obligation. Toutefois, l’exigence d’effectif tombe notamment si « le traitement […] est susceptible de comporter un risque pour les droits et des libertés des personnes concernées »33. C’est le cas d’un traitement automatisé de données personnelles, dont le profilage fait partie. Néanmoins, dans le cadre de notre étude, nous allons davantage nous intéresser aux droits des personnes concernées. En l’espèce, seul le droit à l’information34 octroyé par la réglementation pose, en général, peu de difficultés, car il s’applique en toutes circonstances. En revanche, nous verrons que les autres droits octroyés par la réglementation ont une efficacité limitée.

D’abord, nous allons évoquer le droit énoncé à l’article 15 du RGPD. En effet, selon cette disposition, la personne concernée peut « obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel » ainsi qu’à diverses informations35. C’est un droit « fonctionnel » (Loiseau, 2023) dans la mesure où il permet, d’une part, de s’assurer de la conformité d’un traitement au RGPD, et d’autre part, d’exercer d’autres droits. Il porte sur les données à caractère personnel (notion appréciée de manière large36) ainsi que les modalités du traitement. De manière générale, les informations fournies dans le cadre de ce droit sont de même nature que celles constituant l’objet de l’obligation d’information incombant au responsable du traitement. La différence réside dans l’exigence d’une contextualisation desdites informations (Perray, 2023)37. Lorsqu’une demande d’accès aux données est formulée, le responsable du traitement doit transmettre une « copie des données à caractère personnel faisant l’objet d’un traitement ». Là encore, la notion de « copie » est appréciée de manière large38.

Toutefois, ce droit présente diverses limites. Tout d’abord, il ne concerne que les données personnelles de la personne qui l’exerce. En ce sens, la CNIL précise que « le droit d’accès doit s’exercer dans le respect du droit des tiers […] » (CNIL, 2023). Cela peut faire obstacle à la preuve, par exemple, de l’existence d’une discrimination algorithmique. Certes, la position de la CNIL doit être relativisée dans la mesure où un arrêt de la chambre sociale de la Cour de cassation a admis, de manière conditionnée, la communication de certaines données de tiers dans le cadre de l’exercice du droit à la preuve en matière de discrimination39. Néanmoins, quid des travailleurs non-salariés ? La discrimination peut être réprimée par le droit pénal40, ce qui nécessite l’enclenchement d’une action publique. Toutefois, en dehors de cette hypothèse, nous décelons une réelle contradiction entre les intérêts individuels (la protection des données du micro-travailleur à l’égard des autres) et les mécanismes collectifs qui sont à l’œuvre (l’intérêt des micro-travailleurs à s’intéresser aux données utilisées par le système de management algorithmique imposé par l’opérateur de micro-travail, et de les comparer). Pour y remédier, nous pourrions étendre le droit d’accès à la communication des données des tiers concernés par le traitement, à condition qu’elles soient préalablement pseudonymisées et que le bénéficiaire ne dispose d’aucun moyen de réidentification. Une telle piste peut d’autant plus être envisagée, que selon la CJUE, les données pseudonymisées « ne doivent pas être considérées comme constituant, en toute hypothèse et pour toute personne, des données à caractère personnel […] dans la mesure où la pseudonymisation peut, selon les circonstances de l’espèce, effectivement empêcher des personnes autres que le responsable du traitement d’identifier la personne concernée de telle manière que, pour elles, celle-ci n’est pas ou n’est plus identifiable »41.

Ensuite, l’alinéa 4 de l’article 15 dispose que « le droit d’obtenir une copie […] ne porte pas atteinte aux droits et libertés d’autrui ». Sur le plan juridique, cette règle est cohérente. En effet, le droit à la protection des données personnelles n’est pas un droit absolu et doit « être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité »42. Cependant, l’effectivité réelle du droit d’accès dépend du contenu des droits et libertés d’autrui. En l’occurrence, l’algorithme est protégé par le secret des affaires43. Or, le considérant 63 du RGPD précise justement que le droit d’accès aux données personnelles « ne devrait pas porter atteinte aux droits ou libertés d’autrui, y compris au secret des affaires […] »44. Certes, cela ne doit pas conduire le responsable du traitement à refuser toute communication. En l’occurrence, la personne concernée peut obtenir, en cas de traitement automatisé de données, « des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues » du traitement à son égard45. Néanmoins, l’explicabilité de la décision algorithmique présente des limites que nous avons exposées précédemment. Dès lors, la portée de ce droit est insuffisante pour garantir une protection ex-ante des micro-travailleurs face au système de management algorithmique.

Enfin, le droit d’accès est limité, à l’instar des autres droits, par les modalités de son exercice, énoncées au sein de l’article 12 du RGPD. En effet, si le responsable du traitement considère que la demande est manifestement infondée ou excessive, notamment par son caractère répétitif, il peut soit « exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations, procéder aux communications ou prendre les mesures demandées », soit « refuser de donner suite » à la demande46. Bien qu’il lui incombe de démontrer le caractère manifestement infondé ou excessif de la demande d’exercice du droit, cela peut poser des difficultés supplémentaires dans la mesure où l’exercice d’un recours serait nécessaire. Il en résulte que le droit d’accès, pourtant essentiel, fait l’objet de limitations permettant de douter de son efficacité pour protéger les micro-travailleurs du risque de préjudice qu’ils pourraient subir du fait de l’usage d’un système de management algorithmique.

De la même manière, nous pouvons citer « le droit [de la personne concernée] de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire ». Ce droit est énoncé à l’article 22 du RGPD. De prime abord, il paraît être adapté pour octroyer une protection au bénéfice des micro-travailleurs, à l’égard d’un système de management algorithmique. Cependant, il souffre de nombreuses déficiences (Netter, 2022 ; Huttner, 2024). Les premières résultent d’une interprétation littérale de son champ d’application matériel, car plusieurs angles-morts apparaissent lorsque nous décomposons la disposition. En effet, il s’agit du droit de ne pas faire l’objet d’une décision fondée :

« Exclusivement sur un traitement automatisé, y compris le profilage ». Le caractère exclusivement automatisé du traitement signifie qu’une intervention humaine permet d’exclure le bénéfice de ce droit. L’ancien G29 a posé des garanties en précisant que « le responsable du traitement doit s’assurer que tout contrôle de la décision est significatif et ne constitue pas qu’un simple geste symbolique. Le contrôle devrait être effectué par une personne qui a l’autorité et la compétence pour modifier la décision »47. Néanmoins, cela confirme aussi que toutes les décisions consécutives à l’utilisation d’un algorithme ne sont pas susceptibles d’entrer dans le champ de l’article 22 du RGPD. En ce sens, nous pouvons reprendre la distinction de Liane Huttner entre la décision fondée « notamment sur un algorithme » et la décision fondée « exclusivement sur un algorithme » (Huttner, 2024). Pour les premières, les personnes concernées par le traitement ne peuvent bénéficier de ce droit.

De surcroît, la décision, qui résulte exclusivement d’un traitement automatisé de données personnelles, doit produire « des effets juridiques » à l’égard de la personne concernée par le traitement. Selon l’ancien G29, cela signifie que la décision doit avoir un effet sur les droits de la personne concernée ou sa situation juridique. En guise d’exemples, sont cités : « l’annulation d’un contrat ; le droit ou le refus d’un avantage social particulier accordé par la loi, comme l’allocation familiale ou l’allocation de logement ; le refus d’admission dans un pays ou le refus de citoyenneté »48. En l’occurrence, s’agissant du micro-travail, on peut penser aux décisions d’exclusion des micro-travailleurs de la plateforme.

Ou l’affecter « de manière significative de façon similaire ». Autrement dit, la conséquence concrète doit être similaire à celle « d’une décision produisant un effet juridique »49. Sur ce point, l’ancien G29 ajoute que « les effets du traitement doivent être suffisamment conséquents ou importants pour être pris en considération. En d’autres termes, la décision doit être de nature à : affecter de manière significative la situation, le comportement ou les choix des personnes concernées ; avoir un impact prolongé ou permanent sur la personne concernée ; ou à l’extrême, entraîner l’exclusion ou la discrimination des personnes ». Parmi les exemples de telles décisions, l’ancien G29 cite, pour ce qui nous intéresse, le cas des décisions privant « une personne d’une possibilité d’emploi ou qui la désavantagent gravement »50. Toutefois, l’indétermination du statut du micro-travailleur a des conséquences sur l’appréciation de la notion « d’emploi » (Gardes, 2013) et risque de poser des difficultés. On peut citer l’exemple d’une affaire opposant l’organisation NOYB et Amazon Mechanical Turk (AMT) auprès de la Commission nationale pour la protection des données (CNPD) du Luxembourg. En l’espèce, l’organisation avançait que le refus d’AMT d’enregistrer la personne au sein de sa plateforme de micro-travail constituait une atteinte au droit de l’article 22 du RGPD. En effet, cette décision automatisée aurait eu un impact significatif sur sa situation « en ce qu’elle l’[avait] privée d’une relation contractuelle rémunérée »51. Cela constitue une référence directe aux lignes directrices du G29. Pourtant, la plainte a été rejetée le 21 avril 202352.

Par ailleurs, d’autres limites résultent des exceptions au bénéfice de ce droit. Elles sont énoncées au 2° de l’article 22 du RGPD. Il y en a trois. Cependant, deux nous intéressent dans le cadre de notre étude53. La première concerne le cas où la décision serait « nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable du traitement ». S'agissant de cette première exception, l'ancien G29 précise que le responsable du traitement doit démontrer que ce traitement automatisé de données « est nécessaire, en tenant compte du fait qu’une méthode plus respectueuse de la vie privée pourrait être adoptée. S’il existe d’autres moyens efficaces et moins intrusifs pour atteindre le même but, alors le traitement ne serait pas “nécessaire” »54.

La seconde exception, que nous mentionnons, renvoie à la situation où la décision serait "fondée sur le consentement explicite de la personne concernée". Pour comprendre son sens, le G29 avait fourni quelques précisions au sein de ses lignes directrices relatives au consentement55. Le CEPD les a récemment modifiées56. En l’occurrence, il explique qu’un consentement éclairé, au sens de l’article 5 du RGPD, suppose la communication d’informations relatives à « l’utilisation des données pour la prise de décision automatisée ». Ainsi, si de telles informations sont transmises lors de la collecte des données personnelles, et que le consentement du micro-travailleur est exprimé, en respectant les exigences imposées, alors l’opérateur de plateforme peut procéder à un traitement automatisé aboutissant à ce type de décisions. Dès lors, le micro-travailleur se trouverait désarmé. Cela peut être critiquable dans la mesure où un consentement donné a priori, si tant est qu’il soit exprimé librement, spécifiquement, de manière éclairée et non-équivoque au moment de la collecte des données, ne signifie pas forcément que le micro-travailleur se rende véritablement compte des effets des décisions issues d’un système de traitement de données automatisé. À notre sens, le consentement ne devrait pas empêcher la personne concernée par le traitement de bénéficier du droit de l’article 22 du RGPD de façon définitive. Certes, des tempéraments sont envisagés par le CEPD, notamment dans la situation où il y a « déséquilibre manifeste des rapports de force entre le responsable du traitement et la personne concernée »57. C’est le cas de la relation de travail. En effet, pour le CEPD, il est inenvisageable de considérer que le consentement soit exprimé librement dans ces situations. Toutefois, une modification de cette disposition serait, selon nous, bienvenue.

Enfin, d’autres droits sont garantis par la réglementation relative à la protection des données personnelles. Il s’agit du droit à la rectification des données58, à l’effacement59, à la limitation du traitement60 ou le droit à la portabilité des données61. Toutefois, au regard de leurs fonctions et de leurs conditions d’application, ils ne peuvent être efficaces pour octroyer au micro-travailleur un dispositif de protection face aux dérives d’un système de management algorithmique. Certes, il pourrait être avancé que le droit à la portabilité permettrait au micro-travailleur de se diriger vers une autre plateforme dotée d’un tel système moins contraignant. Néanmoins, il s’agit, selon nous, d’une hypothèse peu réaliste, dans la mesure où il serait difficile de comparer a priori les systèmes de management algorithmique entre eux, notamment en raison des limites de la transparence algorithmique que nous avons exposées62. Enfin, le droit d’opposition est tellement limité qu’il n’est pas possible de l’envisager comme une voie de protection63. En effet, dans le cadre du micro-travail, il ne pourrait être exercé qu’à condition que le traitement soit fondé sur la protection des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers. Dès lors, il serait exclu dans le cas où le traitement serait fondé sur le consentement du micro-travailleur ou l’exécution du contrat64. De surcroît, si la première condition était remplie, le micro-travailleur devrait tout de même justifier l’exercice du droit d’opposition par « des raisons tenant à sa situation particulière »65. Toutefois, quand bien même cette seconde condition serait satisfaite, le responsable du traitement pourrait, à son tour, démontrer « qu’il existe des motifs légitimes et impérieux […] qui prévalent sur les intérêts et les droits et libertés de la personne concernée […] »66.

Conclusion

La numérisation des espaces de travail s’est développée progressivement depuis les années 1990. La standardisation des protocoles de communication Internet à l’échelle planétaire a accéléré cette numérisation et généré progressivement la plateformisation du travail. Le management algorithmique est au cœur du modèle économique des plateformes numériques. Pour y faire face, les micro-travailleurs ne peuvent compter que sur le droit de la protection des données personnelles, car actuellement des incertitudes demeurent à propos de la qualification de leurs prestations et de leur relation contractuelle. Or, s’il est essentiel pour encadrer la collecte et le traitement de ces données, il ne permet pas d’octroyer une véritable protection des micro-travailleurs. Certes, les sanctions prévues par le RGPD trouvent une utilité certaine67. Néanmoins, cela s’inscrit davantage dans une logique de réparation du préjudice subi plutôt qu’une véritable protection, qui nécessite d’anticiper le risque et d’éviter que la personne concernée y soit exposée. Nous pouvons nuancer notre propos en avançant que la protection et la réparation ne sont pas antinomiques. Elles se conjuguent puisque la présence de normes de protection implique réparation si elles ne sont pas respectées. Inversement, l’engagement de la responsabilité du responsable du traitement pour réparer un préjudice subi par la personne concernée devrait l’inciter à prendre des mesures de protection ex-ante. De surcroît, l’absence totale de risque est une pure illusion. Cependant, faire pencher la balance en faveur d’un principe de protection ou de réparation résulte d’un choix politique. En l’occurrence, le choix a été de concilier la libre circulation des données à caractère personnel, nécessaire pour développer l’activité économique, et la protection des personnes physiques68. Il est matérialisé par le principe d’accountability69. Toutefois, la mise en place d’un dispositif de protection reste possible. Pour cela, nous pourrions nous inspirer de mécanismes issus, par exemple, du droit du travail, à l’instar du droit d’alerte et de retrait des salariés70. Nous pourrions également introduire des droits collectifs au bénéfice des personnes concernées par le système de management algorithmique. Les pistes d’amélioration de la réglementation sont nombreuses. Cependant, dans l’état actuel des choses, les micro-travailleurs peuvent toujours chercher la requalification de leur relation contractuelle. En effet, si leur contrat était qualifié de contrat de travail, le droit de la protection des données à caractère personnel deviendrait un véritable « auxiliaire du droit du travail » (Loiseau, 2024). L’application simultanée de ces deux branches du droit leur permettrait de bénéficier d’une protection complète.

Notes

  • 1. Cass. crim., « Clic and Walk », 5 avr. 2022, n° 20-81.775, Bull. crim. IV, p.62.
  • 2. Avis. Cass. soc. « Clic and Walk », 15 décembre 2021, n° 21-70.017
  • 3. Art. 2, 1°, a), iv). Dir. 2024/2831.
  • 4. À moins que le contraire soit démontré. Ce fût le cas, par exemple, au sein de l’arrêt du 10 février 2020, rendu par la Cour d’appel de Douai. En l’espèce, cette dernière avait considéré que la plateforme Clic & Walk n’effectuait pas de « mise en relation » : CA Douai, « Click and Walk », 10 février 2020, n° 19/00137. Cette analyse n’a pas été remise en cause par la Cour de cassation, bien qu’elle n’ait pas tiré les mêmes conclusions à propos du caractère subordonné de la prestation de travail. De surcroît, le rapport du DiPLab, que nous citons, montre que « dans la majorité des cas, les travailleurs ne connaissent pas le client pour lequel ils réalisent des tâches, ni la finalité de ces dernières » (Casilli et al., 2019). Dès lors, l’idée d’une mise en relation est assez contestable. Toutefois, nous pouvons admettre cette hypothèse dans le cadre de notre étude. Elle n’aura, en tout état de cause, aucune influence sur le résultat.
  • 5. Art. L. 151- 1 C. com.
  • 6. Sans toutefois nier son utilité. Le principe d'une transparence algorithmique commence, par ailleurs, à être progressivement reconnu (via des obligations d’information relatives aux paramètres de classement : v. par ex. l’article 5 du règlement 2019/1150 ; aux catégories de données utilisées, aux catégories de décisions susceptibles d’être prononcées, etc. : v. par ex. article 9 de la directive 2024/2831).
  • 7. Il existe en matière administrative : art. 47, al 2, 2° LIL ; et d’une certaine manière au sein du RGPD, puisque le texte permet à la personne concernée par un traitement automatisé de données d’accéder aux « informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues […] » du traitement : art. 13 RGPD.
  • 8. C. SYBORD, « Le paradoxe du management algorithmique. Approche historique de l’influence socio-technique du numérique. Partie I », RNP. vol. 1, n°2/2025.
  • 9. Pour rappel, l’art. 4, 1° RGPD définit la donnée personnelle comme « toute information se rapportant à une personne physique identifiée ou identifiable » ; une personne physique est identifiable si elle : « peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».
  • 10. La qualification de l’adresse IP en tant que donnée à caractère personnel est désormais reconnue : Cass. soc. 25 novembre 2020, n° 17-19.523, Bull. civ. 2020, p.233.
  • 11. Sur le champ d’application matériel (art. 2 RGPD) ; sur le champ d’application territorial (art. 3 RGPD) ; qu’il faut analyser à l’aide des définitions de l’art. 4.
  • 12. Art 4, 2° RGPD : « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ».
  • 13. Art. 4, 7° RGPD : Le responsable du traitement est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre ».
  • 14. Art. 5, 1°, a) RGPD.
  • 15. Art. 12 RGPD : « Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 […] à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples […] ».
  • 16. Listées aux art. 13 & 14 RGPD.
  • 17. Sur les six : art. 6, 1° RGPD.
  • 18. Ancien nom du Comité européen de la protection des données (CEPD).
  • 19. G29, Lignes directrices relatives à la prise de décision individuelle automatisée et au profilage aux fins du règlement (UE) 2016/679, 3 octobre 2017.
  • 20. Art. 5, 1°, b) RGPD.
  • 21. Art. 5, 2° RGPD : « Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté ». Madame Suzanne VERGNOLLE explique la logique de ce principe en reprenant le proverbe russe : « Faites confiance, mais vérifiez » (VERGNOLLE, 2022). Cette analogie nous semble effectivement pertinente.
  • 22. CNIL, « Accountability », en ligne :
    https://www.cnil.fr/fr/definition/accountability#:~:text=L’accountability%20d%C3%A9signe%20l’obligation,%C3%A0%20la%20protection%20des%20donn%C3%A9es, consulté le 01/03/2024.
  • 23. Art. 35, 1° RGPD & art. 62 LIL.
  • 24. Cf. supra.
  • 25. Art. 35, 3°, a) RGPD : « L’analyse d’impact relative à la protection des données visée au paragraphe 1 est, en particulier, requise dans les cas suivants :
    a) l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire ». La CNIL a, par ailleurs, publié une liste précisant les opérations pour lesquelles une analyse d’impact est requise, parmi lesquelles figurent les « traitements impliquant le profilage des personnes pouvant aboutir à leur exclusion du bénéfice d’un contrat ou à la suspension voire à la rupture de celui-ci », puisqu’ils remplissent les critères issus des lignes directrices du CEPD suivants : évaluation ou notation & croisement ou combinaison d’ensembles de données : CNIL, « Délibération n° 2018-327 portant adoption de la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise », 11 octobre 2018.
  • 26. Art. 36, 1° RGPD & art. 63 LIL.
  • 27. Cf. supra.
  • 28. L’article 58 du RGPD octroie aux autorités de contrôle de chaque État membre de l’UE, divers pouvoirs afin de leur donner les moyens d’exercer leurs missions. Ainsi, la CNIL peut réaliser des enquêtes, adopter des mesures correctrices, autoriser certains traitements ou ester en justice en vue de faire appliquer les dispositions du RGPD. Elle bénéficie aussi du droit d’être consultée dans diverses situations. Les États membres peuvent créer des pouvoirs additionnels au bénéfice de ces autorités. Cependant, nous n’entrerons pas davantage dans les détails au sein de la présente étude.
  • 29. Art. 4, 11) RGPD.
  • 30. D’autant qu’il est possible qu’une autorité de contrôle, saisie pour un motif différent, puisse constater une violation du RGPD : ex : C’était le cas de l’autorité de la concurrence allemande qui avait constaté une violation du RGPD par la société Meta : CJUE, « Meta Platforms e. a. c/Bundeskartellam », 4 juillet 2023, aff. C—252/ 21.
  • 31. « Toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction » : art. 4, 2° RGPD.
  • 32. Art. 30 RGPD & art. 100 LIL.
  • 33. Art 30, 5° RGPD.
  • 34. Compte tenu du principe de transparence : art. 5, 1°, a) ; ce droit étant régi par les art. 12, 13 & 14 RGPD.
  • 35. La liste est fixée au sein de la même disposition.
  • 36. Ex : « la définition large de la notion de “données à caractère personnel” ne couvre pas seulement les données collectées et conservées par le responsable du traitement, mais inclut également toutes les informations résultant d’un traitement de données à caractère personnel qui concernent une personne identifiée ou identifiable, telles que l’appréciation de sa solvabilité ou de sa disposition à payer » : CJUE, « F. F. c/Österreichische Datenschutzbehörde et CRIF », 4 mai 2023, n° C-487/21, point 26 (DOUVILLE, 2023).
  • 37. Sur les différences entre, d’une part, les articles 13 &14 et d’autre part, l’article 15 : v. aussi : CJUE, « RW contre Österreichische Post AG », 12 janvier 2023, n° C-154/21, point 36. Sur l’effort de contextualisation : v. CJUE, « FT c. DW », 26 octobre 2023, aff. C—307/ 22, points 74 & 75 (DOUVILLE, 2024).
  • 38. « […] le droit d’obtenir de la part du responsable du traitement une copie des données à caractère personnel faisant l’objet d’un traitement implique qu’il soit remis à la personne concernée une reproduction fidèle et intelligible de l’ensemble de ces données. Ce droit suppose celui d’obtenir la copie d’extraits de documents voire de documents entiers ou encore d’extraits de bases de données qui contiennent, entre autres, lesdites données, si la fourniture d’une telle copie est indispensable pour permettre à la personne concernée d’exercer effectivement les droits qui lui sont conférés par ce règlement, étant souligné qu’il doit être tenu compte, à cet égard, des droits et libertés d’autrui. » : CJUE, « F. F. c/Österreichische Datenschutzbehörde et CRIF », 4 mai 2023, n° C-487/21, point 45.
  • 39. Cass. soc., 8 mars 2023, n°21-12.492, Bull. civ. 2023 n° 3, p.175.
  • 40. Art. 225-1 & s. C. Pén.
  • 41. CJUE, « CEPD c. CRU », 4 septembre 2025, aff. C—413/ 23 P, spéc. point 86 (SIMON, 2025).
  • 42. RGPD, cons. 4.
  • 43. Cf. supra.
  • 44. V. aussi la décision de l’Autorité (belge) de protection des données qui y fait explicitement référence : APD, 09 février 2021, n°15/2021.
  • 45. Art. 15, 1°, h).
  • 46. Art. 12, 5°, a) & b) RGPD.
  • 47. G29, op. cit., p.23.
  • 48. G29, op. cit., p.23.
  • 49. G29, op. cit., p.24.
  • 50. G29, op. cit., p.24.
  • 51. NOYB, Réclamation « NOYB c. Amazon Mechanical Turk, Amazon Web Services & Amazon.com », 22 décembre 2021, n° C-053 :
    https://noyb.eu/sites/default/files/2021-12/AMT%20Complaint%20-%20FR%20redacted.pdf, consulté le 04/03/2024.
  • 52. Malheureusement, nous n’avons pas accès à la décision : https://noyb.eu/fr/project/profiling-automated-decision-making/c053, consulté le 04/03/2024.
  • 53. Nous excluons de l’étude le cas où la décision serait « autorisée par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis et qui prévoit également des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ». En effet, cette exception ne pourrait être utilisée pour justifier l’usage d’un système de management algorithmique dans le cadre du micro-travail.
  • 54. G29, op. cit., p.26.
  • 55. G29, « Guidelines on Consent under Regulation 2016/679 », 28 novembre 2017.
  • 56. CEPD, « Lignes directrices 5/2020 sur le consentement au sens du règlement (UE) 2016/679 », 4 mai 2020.
  • 57. Ibid.
  • 58. Art. 16 RGPD.
  • 59. Art. 17 RGPD.
  • 60. Art. 18 RGPD.
  • 61. Art. 19 RGPD.
  • 62. Cf. supra.
  • 63. Art. 21 RGPD.
  • 64. Cf. supra.
  • 65. Art. 21 RGPD.
  • 66. Ibid.
  • 67. V. art. 83 RGPD. Par ailleurs, nous pouvons citer le cas du GPDP italien (Garante per la protezione dei dati personali), qui a prononcé une amende de 2,5 millions d’euros à l’encontre de Deliveroo, en raison de plusieurs manquements à la réglementation parmi lesquels son système de MA était en cause : GPDP, « Deliveroo », 22 juillet 2021, n° 9685994.
  • 68. « Le présent règlement vise à contribuer à la réalisation d’un espace de liberté, de sécurité et de justice et d’une union économique, au progrès économique et social, à la consolidation et à la convergence des économies au sein du marché intérieur, ainsi qu’au bien-être des personnes physiques » : RGPD, cons. 2. Par ailleurs, le cons. 9 nous donne des informations intéressantes : « Si elle demeure satisfaisante en ce qui concerne ses objectifs et ses principes, la directive 95/46/CE n’a pas permis d’éviter une fragmentation de la mise en œuvre de la protection des données dans l’Union, une insécurité juridique ou le sentiment, largement répandu dans le public, que des risques importants pour la protection des personnes physiques subsistent, en particulier en ce qui concerne l’environnement en ligne. Les différences dans le niveau de protection des droits et libertés des personnes physiques, en particulier le droit à la protection des données à caractère personnel, à l’égard du traitement des données à caractère personnel dans les États membres peuvent empêcher le libre flux de ces données dans l’ensemble de l’Union. Ces différences peuvent dès lors constituer un obstacle à l’exercice des activités économiques au niveau de l’Union, fausser la concurrence et empêcher les autorités de s’acquitter des obligations qui leur incombent en vertu du droit de l’Union. Ces différences dans le niveau de protection résultent de l’existence de divergences dans la mise en œuvre et l’application de la directive 95/46/CE ».
  • 69. Que nous avons présenté : cf. supra.
  • 70. Art. L. 4131- 1 & s. C. trav.

Références

  • Adam, P. (2022). La décision patronale sous perfusion algorithmique : une nouvelle dystopie ? in vers un droit de l’algorithme ? (P. 45‑61). Mare & Martin.
  • Barraud De Lagerie, P., & Sigalo Santos, L. (2018). Et pour quelques euros de plus : le crowdsourcing de micro-tâches et la marchandisation du temps. Réseaux, 212, 51‑84.
  • Bougeard, A. (2021). Le phénomène de Big Data et le droit : pour une appréhension juridique par sa décomposition technique. Université de Strasbourg.
  • Bouquin, S. (2023). À propos du management par les algorithmes (Premier Volet). Les mondes du travail. https://lesmondesdutravail.net/management-algorithmes-part1/#_ftnref5
  • Cardon, D. (2015). À quoi rêvent les algorithmes ? Nos vies à l’heure des Big Data. Seuil.
  • Cardon, D. (2019). Culture numérique. Les Presses de Sciences Po.
  • Casilli, A. A., Tubaro, P., Le Ludec, C., Coville, M., Besenval, M., Mouhtare, T., & Wahal, É. (2019). Le Micro-travail en France : derrière l’automatisation, de nouvelles précarités au travail ? DiPLab.
  • Cnil. (2017). Comment permettre à l’homme de garder la main ? Les enjeux éthiques des algorithmes et de l’Intelligence artificielle.
  • Cnil. (2023). Les droits des personnes sur leurs données. https://www.cnil.fr/fr/passer-laction/les-droits-des-personnes-sur-leurs-donnees
  • Cornu, G. & Association Henri Capitant. (2023). Vocabulaire juridique (15e Édition). PUF.
  • Douville, T. (2023). De l’étendue du droit d’accès aux données à caractère personnel. Gazette du Palais, 32, 3‑4.
  • Douville, T. (2024). Nouvelles précisions concernant le droit d’accès aux données à caractère personnel. Gazette du Palais, 12, 3‑5.
  • Gamet, L. (2022). Le travailleur et (les deux visages de) l’algorithme. Droit social, 775‑782.
  • Gardes, D. (2013). Essai et enjeux d’une définition juridique du travail. PUTC.
  • G’sell, F. (2020). Les décisions algorithmiques. In Le big data et le droit (P. 87‑109). Dalloz.
  • Huttner, L. (2024). La décision de l’algorithme : étude de droit privé sur les relations entre l’humain et la machine. Dalloz.
  • Loiseau, G. (2023). La modélisation du droit d’accès aux données à caractère personnel. La Semaine Juridique Édition Générale, 29, 1423‑1430.
  • Loiseau, G. (2024). Le RGPD, auxiliaire du droit du travail. Communication Commerce Électronique, 3, Comm. 26.
  • Merigoux, D., Alauzen, M., Banuls, J., Gesbert, L., & Rolley, É. (2024). De la transparence à l’explicabilité automatisée des algorithmes : comprendre les obstacles informatiques, juridiques et organisationnels (Rapport de recherche 9535). INRIA.
  • Netter, E. (2022). La part de l’homme et celle de la machine dans les décisions « automatisées ». Propositions pour une réécriture de l’article 22 du RGPD. in vers un droit de l’algorithme. Mare & Martin.
  • Pak, Q. (2023). Analyse juridique de la notion de micro-travail : essai de définition et de qualification. In Regards croisés sur le travail et le micro-travail de plateforme (P. 63‑78). Mare & Martin.
  • Perray, R. (2023). Données à caractère Personnel. — Droits des personnes concernées. Droit d’accès direct. In Jurisclasseur Communication. LexisNexis.
  • Peyronnet, M. (2022). Du Management algorithmique au recrutement par algorithme : le rôle des données. Bulletin Joly Travail, 6, 48‑52.
  • Renault, S. (2018). Le « crowdsourcing » de micro-taches : contours et enjeux d’une nouvelle figure du travail. Le cas de la plateforme foule factory. Recherches en sciences de gestion, N° 127.
  • Savoldelli, P. (2021). Rapport d’information fait au nom de la mission d’information sur : « l’uberisation de la société : quel impact des plateformes numériques sur les métiers et l’emploi ? (Rapport d’information du Sénat 867). Sénat.
  • Sereno, S. (2020). Focus sur les discriminations par algorithme. Revue de droit du travail, 11, 680‑683.
  • Simon, D. (2025). Données pseudonymisées. Europe, 11, comm. 357.
  • Vergnolle, S. (2022). L’effectivité de la protection des personnes par le droit des données à caractère personnel. Bruylant.

Auteurs

Quentin PAK

Affiliation : Laboratoire CERCRID, Université Lumière Lyon 2, France

Pays : France

Pièces jointes

Pas de document complémentaire pour cet article

Statistiques de l'article

Vues: 70

Téléchargements

PDF: 22

XML: 3