Le 22 juillet 2024, l’autorité néerlandaise de protection des données, en collaboration avec la CNIL, a infligé une amende record de 290 millions d’euros à Uber B.V. et Uber Technologies Inc. Cette sanction intervient après la découverte de transferts de données personnelles vers les États-Unis, réalisés sans les garanties adéquates imposées par le Règlement Général sur la Protection des Données (RGPD).

On  vous explique tout dans cet article ! 

Origine de la sanction : une plainte collective des chauffeurs

L’affaire trouve son origine dans une plainte déposée par l’association La Ligue des droits de l’Homme, qui représentait plus de 170 chauffeurs travaillant pour Uber. Ces chauffeurs ont exprimé des inquiétudes quant à la manière dont leurs données personnelles étaient traitées et, plus spécifiquement, au manque de transparence de l’entreprise sur l’utilisation de ces données et leur transfert vers des pays hors de l’Union européenne.

LCette plainte a incité plusieurs autorités de protection des données à lancer une enquête approfondie sur les pratiques de l’entreprise.

Cet article pourrait vous intéresser : Twitter (X), IA et RGPD : 9 plaintes déposées pour Utilisation Illégale des Données Personnelles.

Manquements au RGPD reprochés à Uber

L’enquête a révélé que Uber B.V. et Uber Technologies Inc. procédaient à des transferts de données personnelles des chauffeurs vers les États-Unis. 

Entre le 6 août 2021 et le 21 novembre 2023, Uber n’avait pas encore rejoint un cadre de protection des données, appelé le Data Privacy Framework (DPF), qui permet de transférer des données en toute sécurité entre l’Europe et les États-Unis. Sans ce cadre ou d’autres protections légales, ces transferts de données étaient considérés comme non sécurisés selon les règles du RGPD, en particulier l’article 44.

En d’autres termes, cela signifie qu’Uber n’a pas pris les précautions nécessaires pour protéger les informations personnelles de ses chauffeurs lorsqu’elles ont été envoyées aux États-Unis, contrairement à ce que prévoit le RGPD. 

Sanction Prononcée : 290 Millions d’Euros d’Amende

Face à ces manquements, l’autorité néerlandaise de protection des données a décidé d’infliger une amende exemplaire de 290 millions d’euros à Uber. Cette sanction vise à punir l’entreprise pour son non-respect des obligations légales en matière de protection des données et à envoyer un message fort aux autres entreprises opérant au sein de l’UE. La CNIL, qui a collaboré étroitement à cette enquête, a informé les chauffeurs plaignants de cette décision.

Une décision qui fait également écho à une sanction prononcée en décembre 2023 par la même autorité pour des manquements similaires, avec une amende s’élevant à 10 000 000€.

Compétence de l’Autorité Néerlandaise et Coopération avec la CNIL

L’enquête a été menée par l’autorité néerlandaise de protection des données, car Uber B.V., l’une des entités principales de l’entreprise, est basée aux Pays-Bas. Selon les procédures de coopération instaurées par le RGPD, cette autorité avait la compétence de mener les investigations et de prononcer la sanction.

La CNIL a joué un rôle clé en collaborant avec son homologue néerlandais tout au long du processus. Cette collaboration a inclus des échanges d’informations, l’analyse des preuves, et la révision du projet de décision dans le cadre du mécanisme de guichet unique prévu par le RGPD. Cette coopération internationale entre autorités montre l’importance d’une approche harmonisée de la protection des données au sein de l’UE.

Cet article pourrait également vous intéresser : Artificial Intelligence Act : La CNIL répond aux premières questions

Que faire en cas de transfert international de données selon le RGPD ? 

Pour éviter cette sanction, Uber aurait pu mettre en place plusieurs mesures pour assurer la conformité de ses pratiques de transfert de données :

1. Règles d’Entreprise Contraignantes (BCR) : En mettant en place des BCR, Uber aurait pu garantir un niveau de protection des données conforme aux exigences européennes dans toutes ses filiales, y compris celles basées en dehors de l’UE.

2. Adhésion au Data Privacy Framework (DPF) : Si Uber avait anticipé son inscription au DPF, elle aurait pu bénéficier de ce cadre pour transférer légalement des données vers les États-Unis.

3. Transparence et Information : Une meilleure communication avec les chauffeurs sur l’utilisation et le transfert de leurs données personnelles aurait pu prévenir la plainte initiale et renforcer la confiance des utilisateurs.

Conclusion

L’amende record infligée à Uber souligne l’importance pour les entreprises de se conformer strictement aux règles du RGPD, en particulier lorsqu’il s’agit de transferts de données hors de l’Union européenne. Cette affaire sert de rappel aux entreprises opérant au sein de l’UE qu’elles doivent veiller à protéger les données personnelles de leurs utilisateurs et employés avec la plus grande rigueur. La mise en place de solutions adéquates pour encadrer les transferts de données est non seulement une obligation légale, mais aussi un facteur clé pour maintenir la confiance des clients et éviter des sanctions sévères.