UBER condamnée pour des transferts de données de ses chauffeurs vers les États-Unis
L’autorité néerlandaise de protection des données, en coopération avec la CNIL, a condamné les sociétés UBER B.V et UBER TECHNOLOGIES INC. à une amende de 290 millions d’euros pour avoir transféré des données personnelles de chauffeurs de taxis européens vers les États-Unis sans garanties suffisantes.
Après une plainte collective déposée par l’association française « La ligue des droits de l’homme », l’autorité néerlandaise, en sa qualité d’autorité chef de file, a constaté qu’UBER collectait un nombre important de données des chauffeurs établis en Europe et les conservait sur des serveurs situés aux États-Unis. Il s’agissait principalement des données relatives aux comptes des chauffeurs, leur licence de taxi, mais aussi des données de localisation, des photos, des données de paiement, des documents d’identité et même dans certains cas des informations portant sur leur état de santé ou leur casier judiciaire.
Pour rappel, le transfert de données personnelles vers un pays tiers à l’Union européenne est strictement conditionné. Dans l’hypothèse où le pays destinataire ne bénéficie pas d’une décision d’adéquation, les entreprises doivent mettre en place des garanties appropriées afin d’assurer un niveau de protection substantiellement équivalent à celui offert par le droit de l’Union européenne. Depuis le 10 juillet 2023, les États-Unis bénéficient d’une nouvelle décision d’adéquation, le Data Privacy Framework. Les entreprises qui souhaitent en bénéficier doivent être référencées par autocertification sur une liste administrée par le ministère américain du Commerce.
L’autorité néerlandaise a constaté que les transferts des données, réalisés par UBER entre 6 août 2021 et le 21 novembre 2023 (date d’inscription de l’entreprise sur la liste du Data Privacy Framework), étaient réalisés vers les États-Unis sans l’utilisation d’outils de transfert, et notamment de clauses contractuelles types. Elle conclut à un manquement à l’article 44 du RGPD.
La société UBER, déjà condamnée en décembre 2023 à une amende de 10 millions d’euros, a fait part de son intention de contester la décision de l’autorité néerlandaise. Pour le porte-parole de la société, « cette décision erronée et cette amende extraordinaire sont totalement injustifiées (… ). Il ajoute que « le processus de transfert transfrontalier de données d'Uber était conforme au RGPD pendant une période de trois ans d'immense incertitude entre l'UE et les États-Unis ». Monsieur Caspar NIXON fait ici référence au vide juridique et, partant à l’insécurité juridique engendrés par l’invalidation du Privacy Shield par la CJUE en juillet 2020. La Cour de justice, tout en confirmant la possibilité pour les entreprises d’utiliser des clauses contractuelles types, faisait reposer sur celles-ci la responsabilité d’évaluer dans quelle mesure le système légal et les pratiques répondent aux exigences de protection, notamment pour prévenir l’accès du gouvernement américain.
Pour le responsable politique de la Computer & Communication Industry Association dont UBER est membre, la décision néerlandaise « ignore la réalité ». "The busiest internet route in the world could not simply be put on hold for three entire years while governments worked to establish a new legal framework for these data flows".
Joachim WATHELET
Maître de conférences
Centre de droit économique
Crédit photo : Ivan Radic