Blog Données personnelles
Un exemple de coopération des autorités européennes autour de la sanction UBER
L’autorité française de protection des données (CNIL) a rendu public le prononcé de la sanction prononcée le 22 juillet 2024 par son homologue néerlandaise et elle-même à l’encontre des sociétés Uber B.V et Uber Technologies.
L’amende de 290 millions d’euros prononcée à l’encontre de la plateforme vient sanctionner un manquement aux conditions de transferts de données à caractère personnel observés entre 2021 et 2023 et s’inscrit dans une lignée de sanctions rendues à l’encontre d’UBER.
L’autorité néerlandaise de protection des données avait déjà sanctionné UBER une première fois en 2018 à hauteur de 600 000 euros. Cette décision intervenait afin de sanctionner la Société pour absence de notification réalisée à l’autorité de protection des données ainsi qu’aux personnes concernées par une violation de données (Article 33 du Règlement Général sur la Protection des Données dit « RGPD »). La fuite de données en question avait affecté près de 57 millions d’utilisateurs UBER dont 174 000 citoyens néerlandais.
Le 31 janvier 2024, après une procédure de coopération entre les deux autorités de protection des données française et néerlandaise, différents manquements relatifs à l’exercice de droits des personnes concernées ont également été sanctionnés (Article Blog DELSOL sur le sujet). Parmi les manquements relevés figuraient la réponse non satisfaisante à une demande de droit d’accès prévue à l’article 15 du RGPD, le manque de clarté et d’accessibilité du formulaire permettant aux personnes concernées d’exercer leurs droits, la mention implicite du droit à la portabilité (Article 20 RGPD) ou encore une information générale des durées de conservation appliquées aux données personnelles collectées.
A l’occasion de la sanction à hauteur de dix millions d’euros prononcée, les autorités française et néerlandaise avaient déjà soulevé le point des transferts de données effectués en dehors de l’Union européenne. Les déclarations relatives aux transferts, s’étaient à l’époque, montrées incomplètes. C’est sur ce point que porte la sanction prononcée le 22 juillet dernier.
En application des articles 44 et suivants du RGPD, les transferts de données à caractère personnel sont strictement encadrés. Les responsables de traitement et les sous-traitants peuvent transférer des données en dehors de l’Union européenne à condition d’assurer un niveau de protection suffisant et approprié. Des outils permettent donc d’encadrer ces transferts. En pratique, lorsqu’un transfert de données est mis en place, il convient de déterminer l’adéquation ou non du pays destinataire des données (Carte CNIL, la protection des données dans le monde).
Un cas particulier est celui des Etats-Unis. Un temps considéré comme non-adéquat, le cadre de protection des données UE-Etats-Unis a été marqué par différentes évolutions entre 2020 et 2023. Si dans une décision du 16 juillet 2020 la Cour de justice de l’Union européenne a tout d’abord invalidé la décision d’adéquation, rendant impossible les transferts de données vers les Etats-Unis sur ce fondement (Privacy Shield), la Commission européenne a ensuite adopté une nouvelle décision d’adéquation le 10 juillet 2023.
Entre le 16 juillet 2020 et le 10 juillet 2023, les Etats-Unis n’étant pas considérés comme étant un pays adéquat, une zone grise demeurait quant à l’encadrement des transferts de données à caractère personnel. C’est précisément ce que viennent condamner les autorités française et néerlandaise dans la présente décision.
Les autorités ont relevé qu’Uber avait collecté des informations sensibles sur des chauffeurs européens et les avait conservées sur des serveurs aux Etats-Unis (des données relatives aux comptes et licences de taxi, données de localisation, données de paiement voir dans certains cas des données relatives aux infractions et données médicales des chauffeurs) sans qu’aucun outil de transfert n’ait été mis en place entre 2021 et 2023.
Uber B.V et Uber Technologies Inc, condamnés solidairement car qualifiés de responsables de traitement conjoints, souhaitent exercer une voie de recours à l’encontre de la présente décision.
Jeanne BOSSI MALAFOSSE, associée, et Camille BLOUET, stagiaire