Uber doit payer 290 millions d’euros à l’agence néerlandaise de protection des données pour avoir transféré les données des chauffeurs de taxi européens vers des serveurs aux États-Unis.
Uber a été condamné à une amende de 290 millions d’euros aux Pays-Bas pour avoir transféré les données personnelles de ses chauffeurs aux États-Unis.
L’Agence néerlandaise de protection des données (DPA) a découvert qu’Uber collectait des « informations sensibles » sur ses chauffeurs européens, telles que les licences de taxi, les données de localisation et même les données médicales, et les conservait sur des serveurs américains.
Uber a effectué les transferts vers ses bases de données américaines sans « protéger de manière appropriée les données relatives à ces transferts », a ajouté la DPA.
L’APD considère ce transfert comme une « violation grave » du règlement général sur la protection des données (RGPD) européen.
Ces lois sur les données exigent que « les entreprises et les gouvernements traitent les données personnelles avec le soin nécessaire », a déclaré Aleid Wolsen, président de la DPA, dans un communiqué publié sur son site Web.
« Mais malheureusement, cela n’est pas évident en dehors de l’Europe. Pensez aux gouvernements qui peuvent exploiter les données à grande échelle ».
Une amende « totalement injustifiée »
« Cette décision erronée et cette amende extraordinaire sont totalement injustifiées », a déclaré un porte-parole d’Uber à L’Observatoire de l’Europe Next dans un e-mail.
Uber maintient qu’il s’est conformé au RGPD pendant trois ans d’« immense incertitude » entre les États-Unis et l’UE sur la manière dont les règles seraient appliquées.
Le problème, selon Uber, remonte à 2020, lorsque la Cour de justice de l’UE a déterminé que le cadre actuel de transfert de données entre l’UE et les États-Unis n’était plus conforme au RGPD.
Les entreprises européennes et américaines se sont retrouvées « sans aucune ligne directrice claire sur les flux de données transatlantiques » pendant près de trois ans, selon un communiqué de soutien à Uber de la Computer & Communications Industry Association (CCIA Europe).
La Commission européenne a résolu la situation en juillet 2023, en publiant une déclaration affirmant que les États-Unis offrent une protection suffisante aux données européennes.
Uber a déclaré qu’il n’avait pas à apporter de modifications à la manière dont il stocke les informations aux États-Unis lorsque ce jugement a été rendu.
« Les amendes rétroactives imposées par les autorités de protection des données sont particulièrement inquiétantes étant donné que ces mêmes organismes de surveillance de la vie privée n’ont pas fourni de conseils utiles pendant cette période d’incertitude juridique importante, en l’absence de tout cadre juridique clair », a déclaré Alexandre Roure, responsable de la politique de la CCIA Europe, dans un communiqué envoyé par courrier électronique.
Pour la CCIA, les amendes rétroactives signifient qu’il y aurait une incertitude juridique pour tout ce qui s’est passé en ligne entre 2020 et 2023, de la vidéoconférence au traitement des paiements en ligne.
Uber a annoncé qu’elle ferait appel de l’amende et qu’elle « restait confiante que le bon sens prévaudrait ». L’appel signifie que l’amende est suspendue jusqu’à ce qu’une décision finale soit prise.
Troisième amende pour Uber en cinq ans
La DPA a lancé son enquête plus tôt cette année après que 170 conducteurs français se sont plaints auprès de l’ONG française Ligue des droits de l’Homme en 2021.
Le siège d’Uber pour l’Europe, le Moyen-Orient et l’Afrique se trouvant à Amsterdam, la DPA a pris l’affaire en charge. Les autorités néerlandaises ont également infligé à Uber une amende de 10 millions d’euros en décembre dernier et de 600 000 euros en 2018.
La DPA a constaté dans son enquête de décembre 2023 qu’Uber n’avait pas répondu assez rapidement aux demandes de données de ses chauffeurs.
Uber a également fourni des informations « incomplètes » dans sa déclaration de confidentialité sur la manière dont l’entreprise transférait des données aux États-Unis, selon l’autorité française de protection des données, qui a travaillé avec les Néerlandais sur l’affaire.
« Cette décision réaffirme l’importance d’exiger une information transparente et la nécessité de garantir le respect des droits des personnes concernées », avait déclaré l’autorité française des données dans un communiqué à l’époque.
Jérôme Giusti, avocat de la Ligue française des droits de l’homme, a déclaré dans un communiqué de février qu’il considérait que la plainte de décembre était « la première action à grande échelle des travailleurs en Europe basée sur le RGPD ».
« Les conducteurs que je représente envisagent d’engager une action de groupe pour obtenir réparation, suite à cette première décision de condamnation devant la justice française ».
L’Observatoire de l’Europe Next a contacté l’ONG française pour obtenir des informations sur un éventuel procès mais n’a pas reçu de réponse immédiate.
Uber soutient dans ce cas que la DPA a déclaré que la plateforme de covoiturage avait rempli ses obligations de fournir des données en temps opportun à ses chauffeurs.
La société a déclaré que son appel dans l’affaire de décembre 2023 était toujours actif.
