L'autorité néerlandaise de protection des données Autoriteit Persoonsgegevens (AP) a infligé une amende de 290 millions d'euros au service de transport Uber. Motif de l'amende : protection insuffisante des données à caractère personnel des chauffeurs de taxi européens transmises au siège américain d'Uber.
Les chauffeurs français d'Uber déposent plainte
L'enquête de l'autorité de protection des données fait suite aux plaintes de plus de 170 chauffeurs Uber français. Ceux-ci s'étaient plaints des pratiques d'Uber en matière de protection des données auprès de l'organisation française des droits de l'homme, la Ligue des droits de l'homme (LDH). La LDH a ensuite déposé une plainte auprès de l'autorité française de protection des données. Le siège européen d'Uber étant situé aux Pays-Bas, c'est l'autorité néerlandaise de protection des données qui était chargée de l'enquête.
Uber avait notamment collecté des informations sensibles telles que des données de compte et de permis de conduire, des données de localisation, des photos, des informations de paiement, des documents d'identité et, dans certains cas, des données pénales et médicales de chauffeurs européens, et les avait stockées sur des serveurs aux États-Unis.
Le transfert de ces données sensibles s'est déroulé sur une période de plus de deux ans. Aucune mesure de protection nécessaire, imposée par le RGPD, n'a été mise en œuvre à cette occasion.
L'autorité de protection des données considère que l'infraction commise par Uber est grave.
Conseil de lecture : Les cinq amendes les plus élevées en juillet 2024
Uber n'utilise pas de clauses contractuelles types
Ces transferts ont été effectués sans recourir aux clauses contractuelles types (CCT) ou à d'autres instruments appropriés requis par le RGPD.
Le Privacy Shield UE-États-Unis, qui servait jusqu'à présent de base juridique pour le transfert de données vers les États-Unis, a été invalidé en 2020 par la Cour de justice de l'Union européenne (CJUE) dans la décision Schrems II. La CJUE a précisé que les entreprises devaient garantir un niveau de protection équivalent lors du transfert de données à caractère personnel en dehors de l'UE.
Or, Uber avait renoncé à l'utilisation de ces clauses contractuelles types depuis août 2021. De ce fait, les données des chauffeurs de l'UE n'étaient pas suffisamment protégées selon l'AP. Ce n'est qu'à la fin de l'année dernière qu'Uber a commencé à utiliser les clauses contractuelles types.
Troisième amende contre Uber pour non-respect du RGPD
Il s'agit de la troisième amende infligée par l'AP à Uber. Auparavant, l'entreprise s'était vu infliger une amende de 600.000 euros en 2018 et de 10 millions d'euros en 2023.
L'amende actuelle contre Uber, d'un montant de 290 millions d'euros, est basée sur le chiffre d'affaires annuel mondial de l'entreprise. Avec un chiffre d'affaires mondial de 34,5 milliards d'euros en 2023, l'amende infligée à Uber pourrait représenter jusqu'à 4 % de ce montant.
"En Europe, le RGPD protège les droits fondamentaux des personnes en obligeant les entreprises et les gouvernements à traiter les données personnelles avec soin. Mais en dehors de l'Europe, cela ne va malheureusement pas de soi", déclare le président d'AP, Aleid Wolfsen.
"C'est pourquoi les entreprises sont généralement tenues de prendre des mesures supplémentaires lorsqu'elles stockent des données personnelles d'Européens en dehors de l'Union européenne. Uber n'a pas garanti le niveau de protection des conducteurs requis par le RGPD lors du transfert de données vers les États-Unis. C'est très inquiétant", a déclaré le plus haut responsable de la protection des données aux Pays-Bas en résumant la décision de l'autorité de contrôle.
Uber lui-même a annoncé qu'il ferait appel de l'amende actuelle.
Source : Amende infligée à Uber par l'Autoriteit Persoonsgegevens