Après une première amende de 10 M€ à la fin de l’année 2023, Uber écope d’une seconde sanction de 290 M€ par l’Autoriteit Persoonsgegevens, le régulateur néerlandais des données personnelles. Ce dernier reproche à la plateforme de mise en relation de VTC d’avoir transféré sans protection adéquate des données des chauffeurs européens vers les Etats-Unis. Dans son enquête, la Cnil néerlandaise a constaté que les informations concernaient « des données de compte et de licences de taxi, mais aussi de données de localisation, de photos, de détails de paiement, de documents d'identité et même, dans certains cas, de données criminelles et médicales des chauffeurs ».
Pour expliquer cette décision, il faut parler du cadre juridique des transferts de données entre l’Union européenne et les Etats-Unis qui n’est pas un long fleuve tranquille. Deux textes sur ce sujet ont été invalidés sous l’impulsion de l’avocat autrichien Max Schrems par la Cour de Justice de l’UE : le Safe Harbor (en octobre 2015) et le Privacy Shield (en juillet 2020). L’UE et les Etats-Unis sont donc repartis pour des années de discussions avant d’élaborer le DPF (data privacy framework) qui a été entériné en juillet 2023 et qui prévaut encore aujourd’hui. Pendant ce laps de temps, les société pouvaient avoir recours à des clauses contractuelles types (approuvées par l’UE) pour garantir a minima la protection des données personnelles. Le problème en l’espèce est qu’Uber n’a pas appliqué ces clauses entre le 6 août 2021 et le 21 novembre 2023 (moment de l’inscription au DPF).
Uber conteste et va faire appel
Uber n’a pas tardé à réagir en contestant le jugement de la Cnil néerlandaise. Dans un communiqué reçu par Reuters, la plateforme souligne que « cette décision biaisée et cette amende tout à fait inhabituelle sont totalement injustifiées ». Elle ajoute, « le processus de transfert transfrontalier de données d'Uber était conforme au RGPD pendant la période de trois ans caractérisée par une immense incertitude entre l'UE et les États-Unis ». Uber a fait savoir qu’il ferait appel.
Cette affaire est aussi la suite d’une plainte déposée en France auprès de la Cnil par la Ligue des Droits de l’Homme (LDH) représentant plus de 170 chauffeurs Uber. La société avait été condamnée une première fois par le régulateur néerlandais (compétent car le siège d’Uber en Europe est à Amsterdam) à 10 M€ d’amende pour absence de transparence sur le transfert des données personnelles transatlantiques. L’enquête a été plus loin en constatant l’absence de garantie sur ces transferts.