L’autorité néerlandaise de protection des données a infligé lundi une amende de 290 millions d’euros (437 millions $) au service de VTC Uber pour avoir transféré les données personnelles de chauffeurs européens aux États-Unis sans protection adéquate. Uber a qualifié la décision d’erronée et injustifiée et a déclaré qu’elle ferait appel.
L’autorité néerlandaise de protection des données (DPA) a déclaré que les transferts de données s’étalant sur plus de deux ans constituaient une violation grave du Règlement général sur la protection des données de l’Union européenne, qui exige des mesures techniques et organisationnelles visant à protéger les données des utilisateurs.
«En Europe, le RGPD protège les droits fondamentaux des personnes, en obligeant les entreprises et les gouvernements à traiter les données personnelles avec le soin requis», a déclaré le président de la DPA, Aleid Wolfsen, dans un communiqué. «Mais malheureusement, cela n’est pas évident en dehors de l’Europe. Pensez aux gouvernements qui peuvent exploiter les données à grande échelle. C’est pourquoi les entreprises sont généralement obligées de prendre des mesures supplémentaires si elles stockent des données personnelles d’Européens en dehors de l’Union européenne. Uber n’a pas respecté les exigences du RGPD pour assurer le niveau de protection des données en ce qui concerne les transferts vers les États-Unis. C’est très grave.»
L’affaire a été initiée par des plaintes de 170 chauffeurs Uber français, mais l’autorité néerlandaise a infligé l’amende parce que le siège européen d’Uber se trouve aux Pays-Bas.
Uber a insisté sur le fait qu’il n’avait rien fait de mal. «Cette décision erronée et cette amende extraordinaire sont totalement injustifiées. Le processus de transfert de données transfrontalier d’Uber était conforme au RGPD pendant une période de 3 ans d’immense incertitude entre l’UE et les États-Unis. Nous allons faire appel et restons sûrs que le bon sens prévaudra», a argué l’entreprise dans un communiqué.
La violation présumée est survenue après que la plus haute juridiction de l’UE a statué en 2020 qu’un accord connu sous le nom de Privacy Shield, qui permettait à des milliers d’entreprises – des géants de la technologie aux petites sociétés financières – de transférer des données vers les États-Unis, était invalide parce que le gouvernement américain pouvait espionner les données des gens.
L’agence néerlandaise de protection des données a déclaré qu’à la suite de la décision de la Cour de justice de l’UE, les clauses contractuelles types pourraient servir de base au transfert de données en dehors de l’UE, «mais seulement si un niveau de protection équivalent peut être garanti dans la pratique».
«Étant donné qu’Uber n’a plus utilisé de clauses contractuelles types à partir d’août 2021, les données des conducteurs de l’UE n’étaient pas suffisamment protégées», a indiqué l’organisme de surveillance. Il a ajouté qu’Uber utilise le successeur du Privacy Shield depuis la fin de l’année dernière, ce qui a mis fin à la violation présumée.
La Computer & Communications Industry Association, une organisation de défense des entreprises technologiques, a fait valoir que l’amende ignorait les réalités du commerce en ligne à la suite de la décision de la Cour de justice de l’UE de 2020.
«La voie Internet la plus fréquentée au monde ne pouvait pas simplement être suspendue pendant trois années entières pendant que les gouvernements travaillaient à établir un nouveau cadre juridique pour ces flux de données», a pointé le responsable de la politique européenne de l’association, Alexandre Roure, dans un communiqué.
«Les amendes rétroactives infligées par les autorités de protection des données sont particulièrement inquiétantes, étant donné que ces mêmes organismes de surveillance de la vie privée n’ont pas fourni de conseils utiles pendant cette période d’incertitude juridique importante, en l’absence de tout cadre juridique clair», a-t-il ajouté.
L’annonce de lundi ne constitue pas la première fois que l’organisme néerlandais de surveillance de la protection des données inflige une amende à Uber. En janvier, l’agence lui a infligé une amende de 10 millions d’euros (15 millions $) pour ce qu’elle a déclaré être l’omission de l’entreprise de divulguer la durée pendant laquelle elle conservait les données des conducteurs en Europe ou de nommer les pays hors UE avec lesquels elle partageait les données.