RGPD : lourde amende pour Uber en raison du transfert de données personnelles hors de l'UE
L’autorité néerlandaise de protection des données, en coopération avec la CNIL, a prononcé à l’encontre de Uber une amende de 290 millions d’euros pour avoir transféré des données personnelles hors UE sans garanties suffisantes.La Commission nationale de l'informatique et des libertés (Cnil) avait reçu une plainte collective de l’association La Ligue des droits de l’Homme, représentant plus de 170 chauffeurs de la plateforme UBER (plateforme mettant en relation des chauffeurs VTC avec des utilisateurs), concernant notamment l’information des personnes et les transferts de données personnelles hors de l’Union européenne.
En application des procédures de coopération entre autorités instaurées par le règlement général sur la protection des données (RGPD - Règlement (UE) 2016/679 du 27 avril 2016), c’est l’autorité néerlandaise de protection des données qui était compétente pour mener les investigations sur ce dossier, Uber ayant son établissement principal aux Pays-Bas.La CNIL a étroitement coopéré avec son homologue tout au long de la procédure, au moment des contrôles et de l’analyse des preuves obtenues, puis lors de l’examen du projet de décision dans le cadre de la procédure du guichet unique. À l’issue des investigations menées, l’autorité néerlandaise de protection des données a constaté que les traitements de données personnelles des chauffeurs pour lesquels UBER B.V., société néerlandaise située à Amsterdam, et UBER TECHNOLOGIES INC., société étatsunienne dont le siège social est à San Francisco, sont responsables conjoints font l’objet de transferts vers les Etats-Unis. L’autorité néerlandaise relève qu’entre le 6 août 2021 et le 21 novembre 2023 (date d’inscription d’Uber sur la liste du Data Privacy Framework), ces transferts entre UBER B.V. et UBER TECHNOLOGIES INC. n’ont pas été encadrés par des garanties appropriées. Elle conclut à un manquement à l’article 44 du RGPD (transferts de données).Le 22 juillet 2024, l’autorité néerlandaise de protection des données a donc prononcé une amende de 290 millions d’euros pour avoir transféré des données personnelles hors UE sans garanties suffisantes.