L'autorité néerlandaise de protection des données a condamné, lundi 26 août, la plateforme numérique Uber à une amende de 290 millions d'euros pour transfert illégal, au regard du règlement 'RGPD' sur la protection des données personnelles, de données de chauffeurs français vers les États-Unis.
L'autorité néerlandaise a constaté qu'Uber collectait des informations sensibles (données de comptes et de licences de taxi, données de localisation, photos, détails de paiement, documents d'identité et, dans certains cas, données criminelles et médicales) des chauffeurs et, entre août 2021 et novembre 2023, les avait transférées à son siège américain.
Après que la Cour de justice de l'Union européenne a invalidé, en juillet 2020, le 'Privacy shield' entre l'UE et les États-Unis (EUROPE 12529/2), les sociétés américaines actives dans l'UE pouvaient toujours avoir recours à des clauses contractuelles type ('standard contractual clauses') pour le transfert de données personnelles vers des pays tiers, mais uniquement si un niveau de protection équivalent pouvait être garanti dans la pratique.
Or, a estimé l'autorité néerlandaise, étant donné qu'Uber n'utilisait plus ces clauses contractuelles depuis août 2021, les données des chauffeurs de l'UE n'étaient pas suffisamment protégées.
Au nom de l'organisation CCIA Europe, qui regroupe des plateformes comme Uber, Amazon, X ou Google, Alexandre Roure a critiqué une décision qui « ignore la réalité ». « Le plus important canal Internet au monde ne pouvait simplement pas être mis sur pause pendant trois ans, le temps que les gouvernements travaillent à la mise en place d'un nouveau cadre juridique pour le transfert de ces données », a-t-il déclaré dans un communiqué. Infliger une amende rétroactive est très « inquiétant », dans la mesure où les autorités publiques n'ont pas fourni d'orientations claires durant cette période d'incertitude juridique, a-t-il ajouté.
Uber a fait appel de la décision de l'autorité néerlandaise. (Mathieu Bion)