La plateforme de réservations de taxis Uber a été sanctionné d’une amende de 290 millions d’euros par l’autorité néerlandaise de protection de données, pour avoir transféré vers les États-Unis des données à caractère personnel de ses chauffeurs européens pendant deux ans, de août 2021 et novembre 2023, sans garantir un niveau de protection de ces données conforme au RGPD[1].

« L’autorité néerlandaise a constaté qu’Uber collectait, entre autres, des informations sensibles de chauffeurs européens et les conservait sur des serveurs aux États-Unis. Cela concerne les détails du compte et les licences de taxi, mais aussi les données de localisation, les photos, les détails de paiement, les documents d’identité et même, dans certains cas, les données criminelles et médicales des chauffeurs.

— Autorité néerlandaise, communiqué du 26/08/2024, traduit

La société Uber a mis fin à cette violation de données en novembre 2023, après s’être mise en conformité avec le nouveau cadre transatlantique Data Privacy Framework.

Les détails de cette sanction n’ont pas été rendus publics. L’association française la Ligue des Droits de l’Homme était à l’origine de cette procédure et agissait pour le compte de 170 chauffeurs de la plateforme.

Dans cette procédure, l’autorité néerlandaise a eu le rôle d’autorité chef-de-file, au sens du RGPD, car le siège social européen de la société Uber est localisé à Amsterdam.

L'avis d'eWatchers (par Morgan Schmiedt)

Cette sanction est la seconde sanction significative pour des transferts de données vers les US. Facebook avait, en effet, été sanctionné d’une amende de 1,2 milliard d’euros, en septembre 2023, pour avoir transféré les données de ses utilisateurs au-delà de l’Atlantique.

Même si toutes les sociétés, particulièrement les sociétés états-uniennes, ont continué de transférer vers les US les données de leurs clients après l’invalidation de l’accord Privacy Shield entre l’Union européenne et les US, seules quelques sociétés en ont fait les frais, pour des raisons très probablement politiques.

Cette sanction est également la troisième sanction contre Uber pour des manquements à la réglementation sur la protection des données. Une première sanction de 400 k€ avait été infligée à la société en 2018 pour des manquements de sécurité[2], et une seconde de 10M€ en janvier 2024 pour un manque de transparence des traitements des données[3]. Si le montant de la sanction progresse, il représente une très petite part du chiffre d’affaires mondial de la société – 0,7% des $37 milliards du CA mondial de la société.

Liens

Notes et références

  1. Les transferts de données hors de l’Union européenne, comme les transferts vers les US, sont encadrés par l’article 44 du RGPD. Voir {{INFO:66}.
  2. voir « UBER sanctionné pour n’avoir pas correctement sécurisé l’accès aux données de ses clients et chauffeurs ».
  3. voir le communiqué de l’autorité néerlandaise du 31 janvier 2024
Sigles et acronymes
  • RGPD : Règlement Général sur la Protection des Données