L’entreprise de VTC Uber a été condamnée par l'agence néerlandaise de protection des données à payer une amende de 290 M€ pour avoir transféré des données personnelles de chauffeurs de taxis européens aux États-Unis.
Le Règlement général sur la protection des données (RGPD) a encore frappé, et cette fois, c’est Uber qui en a fait les frais. L'Autorité néerlandaise de protection des données (APD) a sanctionné l’entreprise - dont le siège européen est aux Pays-Bas - après avoir constaté qu’elle avait transféré des données personnelles de chauffeurs de taxi européens vers les États-Unis pendant plus de deux ans, et ce, sans avoir utilisé de garanties appropriées. Ce qui constitue une violation de l’article 44 du RGPD sur le transfert de données à caractère personnel vers des pays tiers ou des organisations internationales. Résultat des courses : l’entreprise de VTC devra s’acquitter de la coquette somme de 290 M€.
Au cours de son enquête, menée suite à la plainte de 170 chauffeurs en France, l’APD a également constaté que l’entreprise américaine conservait des informations sensibles sur des serveurs situés au siège d’Uber aux États-Unis. Ces données concernaient les détails des comptes et les licences de taxi, mais aussi les données de localisation, les photos, les détails de paiement, les documents d'identité, voire des données criminelles et médicales.
Uber conteste
L’enquête de l’APD a été menée en collaboration avec la CNIL qui, dans un communiqué séparé, a indiqué avoir « étroitement coopéré avec son homologue tout au long de la procédure, au moment des contrôles et de l’analyse des preuves obtenues, puis lors de l’examen du projet de décision dans le cadre de la procédure du guichet unique. »
Uber a indiqué qu’il allait contester cette décision. « et l’interprétation de l’APD concernant les règlements régissant les transferts de données vers les États-Unis de 2020 à 2023, une période pendant laquelle les institutions européennes et américaines étaient en désaccord », a déclaré l’entreprise dans un communiqué que Le Monde a pu consulter.
Une porte-parole a qualifié la sanction d’« inhabituelle » et de « totalement injustifiée », assurant que les transferts de données étaient conformes au RGPD pendant une période de trois ans « caractérisée par une immense incertitude entre l’UE et les États-Unis ».
Ce n’est pas la première fois que l’APD sanctionne l’entreprise américaine. L’autorité lui avait déjà infligé une amende de 600 000 euros en 2018, puis de 10 millions d’euros en 2023 pour violation des règles de confidentialité concernant les données personnelles des chauffeurs.