Passer au contenu

Transfert de données personnelles US-UE : Pourquoi Uber est condamné à une amende salée

La plateforme américaine va devoir payer une amende de 290 millions d’euros pour avoir transféré des données personnelles de chauffeurs VTC européens vers les États-Unis en violation du RGPD, la réglementation phare de l’Union européenne en matière de données personnelles. Uber, que nous avons contacté, conteste la décision jugée « totalement injustifiée » qui vient sanctionner des transferts réalisés pendant une période « d’immense incertitude entre l’UE et les États-Unis ».

290 millions d’euros : Uber a été condamnée à payer une « amende record » pour avoir transféré des données personnelles de chauffeurs européens aux États-Unis, sans garanties suffisantes. La décision a été prise par l’autorité de protection des données des Pays-Bas, en collaboration avec son homologue française, la CNIL, le 24 juillet dernier. Comme le gardien de nos données personnelles français l’explique dans un communiqué de ce lundi 26 août, tout était parti d’une plainte de la Ligue des droits de l’Homme en France contre Uber, au nom de 170 chauffeurs VTC. Ces derniers estimaient qu’ils n’avaient pas été informés du transfert de leurs données personnelles aux États-Unis – un transfert de data qui aurait été fait sans les garanties adéquates. 

Uber ayant son siège social européen aux Pays-Bas, c’est la CNIL néerlandaise qui était compétente pour juger de l’affaire. Cette dernière a considéré, comme elle l’indique dans un communiqué (en anglais), qu’Uber « collectait, entre autres, des informations sensibles des chauffeurs européens », des données qui étaient ensuite « conserv(ées) sur des serveurs aux États-Unis ». Concrètement, il s’agissait de « données liées au compte et à la licence des chauffeurs », mais aussi « leurs données de localisation, des photos, des détails de paiement, des documents d’identité et, dans certains cas, même les données liées à des informations médicales (…) des chauffeurs ».

Un contexte où l’accord transatlantique était invalidé…

Or, ces data ont été transférées de l’Europe vers les États-Unis pendant deux ans, d’août 2021 à novembre 2023, sans que « la protection des données personnelles ne soit suffisante », estime la CNIL néerlandaise. Pour rappel, nos données personnelles sont protégées en Europe par le RGPD, le règlement européen sur les données personnelles. Lorsque ce type d’information est collecté et envoyé par les géants du numérique comme Google ou Uber en dehors de l’Union européenne, la Commission européenne analyse le droit du pays en question.

S’il est aussi protecteur que le droit européen, elle adopte ce qu’on appelle une décision d’adéquation, qui autorise ces transferts. Le problème est que pour les États-Unis, ces décisions ont été retoquées par la Cour de justice de l’UE à deux reprises – une fois en 2015, avec l’annulation du « Safe Harbor », et une seconde fois en 2020, avec l’annulation du « Privacy Shield ». Les juges européens estimaient que le cadre juridique américain ne protégeait pas les Européens des « ingérences dans les droits fondamentaux des personnes dont les données étaient transférées ». Dans leur viseur : les pratiques de surveillance de masse du renseignement américain au nom de leur sécurité nationale.

À lire aussi : Pourquoi le transfert de vos données personnelles aux Etats-Unis est un incroyable casse-tête

… sans recours aux clauses contractuelles type

Or dans cette affaire, il n’y avait plus d’accord de transfert de données personnelles de l’UE vers les États-Unis entre 2020 (date d’annulation du « Privacy Shield ») et juillet 2023, date de publication du Data Privacy Framework (DPF), le nouvel accord transatlantique.

À lire aussi : Transfert de données transatlantique : l’Europe annonce un nouveau Privacy Shield

Uber aurait pu, pour pallier l’absence d’accord, utiliser des « clauses contractuelles type » pour justifier le transfert de données vers des pays situés en dehors de l’UE, « mais uniquement si un niveau de protection équivalent pouvait être garanti dans la pratique ». Or, la plateforme américaine n’a pas utilisé ces clauses contractuelles types depuis août 2021, détaille la CNIL néerlandaise.

Résultat, les transferts des données des chauffeurs européens d’UBER B.V. (la filiale européenne) vers UBER TECHNOLOGIES INC. (la maison mère américaine) « n’ont pas été encadrés par des garanties appropriées » jusqu’au 21 novembre 2023, date à laquelle Uber a été inscrit sur la liste du « Data Privacy Framework (DPF) », le nouveau Privacy Shield.

À lire aussi : Transfert de données UE-US : la nouvelle cour de Biden déjà sous le feu des critiques

Une amende totalement injustifiée, selon Uber qui fait appel

Pour Aleid Wolfsen, président de la CNIL néerlandaise cité dans le communiqué de cette dernière, « Uber n’a (donc) pas respecté les exigences du RGPD pour garantir le niveau de protection des données en ce qui concerne les transferts vers les États-Unis. C’est très grave ». Uber risquait, en violation du RGPD, une amende pouvant aller jusqu’à 4 % de son chiffre d’affaires mondial. Ce dernier avoisinait, en 2023, les 34,5 milliards d’euros.

A lire aussi : Comment l’Europe a abandonné vos données personnelles aux espions américains

La plateforme américaine, que nous avons contactée, a précisé qu’elle comptait bien faire appel de cette décision, considérée selon un porte-parole comme « biaisée » : l’amende de 290 millions d’euros est « tout à fait inhabituelle et (…) totalement injustifiée ». Selon Uber, « le processus de transfert transfrontalier de données d’Uber était conforme au RGPD pendant la période de trois ans caractérisée par une immense incertitude entre l’UE et les États-Unis ». Cette dernière mentionne un communiqué de ce lundi de la « Computer and Communications Industry Association (CCIA) », qui représente de grandes entreprises du secteur.

Pour Alexandre Roure, le responsable politique de CCIA Europe cité dans ce document, cette décision « ne tient pas compte de la réalité. La route Internet la plus fréquentée au monde ne pouvait pas être simplement suspendue pendant trois années entières, le temps que les gouvernements établissent un nouveau cadre juridique pour ces transferts de données ».

Pour l’ONG NOYB, il s’agit de « la plus grosse amende jamais imposée par la CNIL néerlandaise »

Interrogée par 01net.com, la Ligue des droits de l’Homme s’est félicitée « de cette condamnation exemplaire (…) qui reconnait le droit des travailleurs Uber ». Citée dans le communiqué de l’association, Nathalie Tehio, sa présidente, a souhaité que cette décision « serve de “moteur” à toutes les autres victimes des “Big Tech” prouvant ainsi que le droit peut protéger les citoyens ou résidents européens ». Un porte-parole de NOYB, l’association de Max Schrems à l’origine des deux précédentes annulations des accords transatlantiques, nous a, de son côté, rappelé qu’Uber avait déjà été condamné à payer une amende pour violation du RGPD à deux reprises.

« Il s’agit clairement de la plus grosse amende jamais imposée à Uber dans l’UE, et en fait de la plus grosse amende jamais imposée par l’autorité néerlandaise de protection des données », a-t-il détaillé. En 2023, l’entreprise américaine avait déjà été condamnée à payer de 10 millions d’euros, décision qu’elle avait aussi contestée.

Note de la rédaction : cet article a été mis à jour ce lundi 26 août pour insérer les commentaires de la Ligue des droits de l’Homme. 

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Source : Communiqué de la CNIL néerlandaise du 26 août 2024 (anglais)