L’autorité néerlandaise de protection des données vient de prononcer une amende de 290 millions d’euros à l’encontre d’Uber. L’entreprise de VTC a envoyé certaines données personnelles de ses chauffeurs aux États-Unis sans respecter les garanties instaurées par le RGPD.
Données personnelles : Uber écope d’une amende de 290 millions d’euros
C’est une victoire pour l’avocat spécialiste en IP/IT Numérique Jérôme Giusti. Sur le réseau professionnel LinkedIn, il se félicite de la décision de l’autorité néerlandaise de protection (DPA) des données qui condamne Uber à une “amende record” de 290 millions d’euros. Faits reprochés à l’entreprise de la Silicon Valley : avoir transféré des millions de données personnelles appartenant à ses chauffeurs en dehors de l’Union européenne sans aucune garantie de confidentialité.
Pendant plus de deux ans, entre le 6 août 2021 et le 21 novembre 2023, Uber a envoyé à son siège américain des informations relatives aux comptes et aux licences de taxi, des données de localisation, des photos, des informations de paiement, des documents d'identité, et parfois des données criminelles et médicales des chauffeurs
Si en Europe le RGPD protège les données personnelles – et par conséquent les droits fondamentaux – des citoyens, il en va autrement en dehors de l’Union européenne. "Pensez aux gouvernements qui peuvent exploiter les données à grande échelle", explique Aleid Wolfsen, présidente de l'APD néerlandaise. L’écart du niveau de protection européen avec ce qui reste du monde oblige les entreprises "à prendre des mesures supplémentaires si elles stockent des données personnelles d'Européens en dehors de l'Union européenne". Selon l’enquête de l’autorité en collaboration avec la Cnil, "Uber n'a pas satisfait aux exigences du RGPD pour garantir le niveau de protection des données lors des transferts vers les États-Unis. C'est très grave".
Moins d’un pour cent du chiffre d'affaires mondial
La plainte avait été déposée devant la Cnil il y a quatre ans par le syndicat INV-FO, la Ligue des droits de l'Homme et 170 chauffeurs. Les procédures de coopération entre autorités instaurées par le RGPD avaient conduit à remettre l’enquête à l'autorité des Pays-Bas. Le gendarme hollandais du RGPD a travaillé main dans la main avec son homologue français en vertu de la procédure du guichet unique.
L’autorité néerlandaise n’est pas allée jusqu’à prononcer une amende égale à 4 % du chiffre d'affaires annuel mondial de la plateforme comme elle y est autorisée. Les 290 millions correspondent à moins d’un pour cent du chiffre d'affaires mondial d'Uber qui est d’environ 34,5 milliards d'euros en 2023. Cela représente 29 fois plus que les 10 millions qu’Uber avait déjà été condamné à verser le 11 décembre 2023, indique Jérôme Giusti. Cette fois-ci, c’était l’obligation de transparence des informations et celle de garantir l’exercice des droits des personnes qui avaient été violées.
Selon le communiqué, Uber compte s'opposer à l'amende. L’entreprise attend encore l’issue d’une troisième plainte sur la déconnexion automatique des chauffeurs VTC par 170 d’entre eux.
Anne-Laure Blouin
