Uber doit payer une amende de 290 millions d’euros pour enfreintes à la protection des données
L’autorité néerlandaise de protection des données (AP) a infligé une lourde amende de plusieurs millions de dollars au géant des VTC, Uber. Parce que la société américaine a transféré des données personnelles de l’Europe aux États-Unis sans base légale, elle doit maintenant s’acquitter d’une amende de 290 millions d’euros. Cela a été annoncé lundi par l’autorité de protection des données.
Selon l’autorité de protection, Uber aurait transmis des données personnelles de chauffeurs européens à son siège social aux États-Unis pendant deux ans sans protection adéquate et sans aucune base légale. Il s’agissait de données de compte et de permis de taxi, ainsi que de données de localisation, de photos, d’informations de paiement, de pièces d’identité et, dans certains cas, même de renseignements de condamnations pénales et d’informations médicales sur les chauffeurs.
En se comportant de la sorte, le Groupe a enfreint l’article 44 du Règlement général sur la protection des données (RGPD). « Uber n’a pas satisfait aux exigences du Règlement général sur la protection des données (RGPD) pour assurer le niveau de protection des données lors de leur transfert aux États-Unis. C’est très grave », a déclaré Aleid Wolfsen, président de l’AP. En Europe, le RGPD protège les droits fondamentaux des personnes en obligeant les entreprises et les gouvernements à traiter les données personnelles avec soin.
Uber estime que le problème est dû à la décision de la Cour de justice européenne qui a déclaré invalide en 2020 le bouclier de protection des données UE-États-Unis (arrêt Schrems II) – et aux « grandes incertitudes » que cela a soulevées. Toutefois, l’autorité souligne qu’Uber aurait dû garantir le transfert de données à l’aide de clauses contractuelles types afin d’atteindre un niveau de protection des données comparable à celui de l’UE.
Selon l’AP, Uber a maintenant mis fin à la violation du RGPD et assuré une base légale appropriée pour son transfert de données.
Des chauffeurs en quête d’aide
L’autorité de protection des données a ouvert une enquête suite aux plaintes déposées par 170 chauffeurs Uber de France. Ils avaient contacté l’organisation française, la Ligue des droits de l’homme (LDH), qui a par la suite déposé une plainte auprès de la Commission nationale de l’informatique et des libertés (CNIL). Cette dernière a transmis la plainte à ses homologues néerlandais compétents.
Le Groupe traite des données provenant de divers états membres de l’UE. Cependant selon le RGPD, c’est l’autorité néerlandaise de protection des données qui est compétente ici étant donné que l’entreprise a son siège européen à Amsterdam. L’AP a travaillé en étroite collaboration avec la CNIL et a coordonné sa décision avec d’autres autorités européennes de protection des données.
Contestation d’Uber
Uber interrogé a déclaré que la décision était biaisée et que l’amende était « totalement injustifiée ». « Nous ferons appel et sommes convaincus que le bon sens l’emportera », a poursuivi le Groupe.
Il s’agit déjà de la troisième amende infligée à l’entreprise par l’autorité néerlandaise de protection des données. En 2018, l’AP a infligé une amende de 600 000 euros, puis de 10 millions d’euros en 2023. La société s’est également opposée à cette dernière amende. L’AP avait constaté dans cette affaire qu’Uber n’avait pas répondu assez rapidement aux requêtes de ses chauffeurs concernant leurs données et avait fourni des informations incomplètes dans sa politique de confidentialité sur la façon dont l’entreprise transférait les données aux États-Unis.
L’organisation de défense des droits humains LDH s’est réjouie de l’amende imposée lundi. Son montant inhabituellement élevé est approprié à la gravité des faits, a-t-elle déclaré. L’organisation a annoncé qu’elle lancerait un recours collectif contre Uber auprès du syndicat INV-FO afin de réclamer une indemnisation pour les 40 000 à 50 000 conducteurs touchés en France. (hcz)