L’Autorité de protection des données aux Pays-Bas (DPA) a infligé une amende de 290 millions d’euros à Uber concernant le transfert de données de chauffeurs européens aux États-Unis, en violation avec le règlement général sur la protection des données (RGPD). L’affaire a débuté en France.
Une amende de 290 millions d’euros pour Uber
En France, la CNIL avait reçu une plainte collective de l’association La Ligue des droits de l’Homme, représentant plus de 170 chauffeurs d’Uber. Cette plainte concernait notamment l’information des personnes et les transferts de données personnelles hors de l’Union européenne. Le 11 décembre 2023, l’autorité néerlandaise avait prononcé une première amende de 10 millions d’euros pour plusieurs manquements à l’information des chauffeurs.
Il s’agit des données de compte et des licences de taxi, mais aussi des données de localisation, des photos, des détails de paiement, des documents d’identité et, dans certains cas, des données criminelles et médicales des chauffeurs.
« En Europe, le RGPD protège les droits fondamentaux des personnes, en exigeant des entreprises et des gouvernements qu’ils traitent les données personnelles avec la diligence requise », déclare Aleid Wolfsen, président de l’autorité néerlandaise. « Malheureusement, cela ne va pas de soi en dehors de l’Europe. Pensez aux gouvernements qui peuvent exploiter les données à grande échelle. C’est pourquoi les entreprises sont généralement tenues de prendre des mesures supplémentaires si elles stockent des données personnelles d’Européens en dehors de l’Union européenne. Uber n’a pas respecté les exigences du RGPD pour garantir le niveau de protection des données en ce qui concerne les transferts vers les États-Unis. C’est très grave ».
Un non-respect du RGPD propre à l’Europe
En application des procédures de coopération entre autorités instaurées par le RGPD, c’est l’autorité néerlandaise de protection des données qui était compétente pour mener les investigations sur ce dossier, Uber ayant son établissement principal aux Pays-Bas.
La CNIL a étroitement coopéré avec la DPA tout au long de la procédure, au moment des contrôles et de l’analyse des preuves obtenues, puis lors de l’examen du projet de décision dans le cadre de la procédure du guichet unique.
À l’arrivée, l’autorité néerlandaise indique que les transferts des données aux États-Unis des chauffeurs européens d’Uber entre le 6 août 2021 et le 21 novembre 2023 n’ont pas été encadrés par des garanties appropriées. Elle conclut à un manquement à l’article 44 du RGPD. Cela explique l’amende de 290 millions d’euros.
L’amende ne sera probablement jamais payée et de toute façon, qui allait la récupérer à la fin ?
L’état, et l’argent disparaitra.