L’autorité néerlandaise de protection des données a, lundi 26 août, infligé 290 millions d’euros d’amende à Uber pour avoir transféré aux États-Unis les données personnelles de chauffeurs européens sans protection adéquate durant plus de deux ans, en violation du règlement général sur la protection des données (RGPD) de l’Union européenne (UE).
Ces données comprenaient des informations sensibles telles que des détails de compte, des licences de taxi, des données de localisation, des photos, des détails de paiement, des documents d’identité, des casiers judiciaires et des dossiers médicaux.
Le président de l’autorité néerlandaise, Aleid Wolfsen, a déclaré que si le RGPD garantit une forte protection des données personnelles à l’intérieur de l’UE, de telles dispositions ne sont pas assurées hors de l’Union.
Cependant, un porte-parole de la Commission a indiqué à Euractiv que toutes les entreprises opérant au sein de l’UE sont censées se conformer pleinement aux réglementations européennes en matière de protection des données.
Le RGPD s’applique à toute entreprise qui traite les données personnelles de résidents de l’UE, même si l’entreprise est basée hors de l’UE, comme Uber, dont le siège se trouve aux États-Unis. Si ces dernières ne sont pas efficacement protégées, les entreprises fautives peuvent recevoir des amendes allant jusqu’à 4 % de leur chiffre d’affaires mondial.
Uber s’est donc vu infliger une amende historique de 290 millions d’euros, soit près de 1 % de son chiffre d’affaires global, qui était de 34,5 milliards d’euros en 2023. Il s’agit de la troisième amende infligée à l’entreprise par l’autorité néerlandaise, après les précédentes amendes de 600 000 euros en 2018 et de 10 millions d’euros en 2023, deux sanctions qu’Uber a contestées.
« Il s’agit clairement de la plus grosse amende jamais imposée à Uber dans l’UE, et en fait de la plus grosse amende jamais imposée par l’autorité néerlandaise », a annoncé à Euractiv Maartje de Graaf, avocate de l’ONG Noyb, le Centre européen pour les droits numériques.
L’autorité néerlandaise a commencé à enquêter sur Uber en 2021 après que plus de 170 chauffeurs français aient contacté la Ligue des droits de l’homme (LDH), qui a ensuite déposé une plainte auprès de la Commission nationale informatique et liberté (CNIL). Celle-ci a transmis ces plaintes à l’agence néerlandaise, qui supervise Uber puisque le siège européen du géant américain se trouve aux Pays-Bas.
L’autorité néerlandaise a collaboré avec la CNIL et d’autres organismes européens. L’amende a impliqué les autorités de contrôle norvégienne et suisse, ainsi que celles des pays de l’UE, à l’exception de la Bulgarie, de Chypre, de l’Islande, de la Lettonie, du Liechtenstein, du Luxembourg et de la Slovénie.
La décision néerlandaise « ouvre une boîte de Pandore », explique à Euractiv Brahim Ben Ali, ancien chauffeur Uber et fer de lance de la plainte déposée par les 170 chauffeurs Uber français, arguant que la conformité au RGPD et la gestion des données « sont le talon d’Achille » de l’entreprise.
« L’amende pourrait avoir des répercussions sur d’autres multinationales qui transfèrent des données entre les États-Unis et l’UE », a-t-il ajouté.
Trois autres plaintes déposées par ces 170 chauffeurs sont actuellement examinées à Amsterdam, dont une concernant la déconnexion automatique des comptes Uber.
Cadre de protection des données UE-États-Unis
Les nouvelles concernant la violation du RGPD par Uber soulèvent également des questions sur le transfert de données personnelles de l’UE vers les États-Unis.
Le Bouclier de protection des données (Privacy Shield) était un cadre qui permettait aux entreprises de transférer des données personnelles de l’UE vers les États-Unis tout en garantissant leur protection en 2016.
Toutefois, en 2020, la plus haute juridiction de l’UE a invalidé le Privacy Shield dans un arrêt connu sous le nom de Schrems II, estimant que les lois américaines n’offraient pas le même niveau de protection que celui exigé par les normes de l’UE. Cet arrêt porte le nom de l’activiste et avocat Max Schrems, co-fondateur de Noyb, qui a contesté l’adéquation de la protection des données dans le cadre du Bouclier de protection des données.
À la suite de cette décision, en 2023, le Bouclier a été remplacé par le Cadre de protection des données UE-États-Unis, pour fournir des garanties juridiques aux entreprises qui transfèrent des données sensibles.
Cependant, avant même ce nouveau cadre, les entreprises pouvaient utiliser les Clauses contractuelles types en tant qu’accord juridique pour protéger les données personnelles envoyées depuis l’UE vers des pays tiers qui suivent les normes de l’UE en matière de protection des données.
Uber a cessé d’utiliser les Clauses contractuelles types en août 2021, ce qui a conduit à une protection insuffisante des données, a constaté l’autorité néerlandaise au cours de son enquête.
À la suite de l’amende, Uber a publié une déclaration décrivant la décision comme « erronée » et « totalement injustifiée », confirmant qu’elle ferait appel de la condamnation. Cet appel suspendrait l’amende en attendant qu’une nouvelle décision soit prise, ce qui pourrait prendre jusqu’à quatre ans.
Un porte-parole de l’entreprise californienne a indiqué à Euractiv que les transferts de données entre les États-Unis et l’UE étaient restés conformes au RGPD même après l’invalidation du Privacy Shield entre 2020 et 2023.
L’adoption du Cadre de protection des données en 2023 n’aurait entraîné aucun changement dans la manière dont Uber gère la protection des données personnelles de ses chauffeurs, a ajouté le porte-parole.
