Vie des affaires

RGPD

Uber lourdement condamné pour transfert irrégulier de données

Le non-respect par les entreprises de leurs obligations en matière de protection et de transferts de données personnelles peut engendrer des sanctions considérables. Uber vient d’en faire les frais, pour la seconde fois en l’espace d’un an.

Une nouvelle sanction record contre Uber…

A la suite d’une plainte déposée auprès de la Commission nationale de l’informatique et des libertés (CNIL) par la Ligue des droits de l’Homme française, représentant plus de 170 chauffeurs Uber, la plateforme de voitures de transport avec chauffeur (VTC) Uber a été condamnée à une amende record de 290 M€.

Cette sanction, prononcée le 22 juillet 2024, lui a été infligée pour n’avoir pas respecté les obligations européennes en matière de transfert de données personnelles hors Union européenne (UE) et ce notamment lors de transferts vers les Etats-Unis entre 2021 et 2023. En effet, pendant ce laps de temps, Uber a transféré des données personnelles de chauffeurs (localisations, photos, documents d’identité…) à son siège américain sans les garanties de protection requises au titre de l’article 44 du Règlement Général sur la Protection des Données (RGPD).

Cette condamnation s’ajoute à une première sanction de 10M€ prononcée le11 décembre 2023 par l’autorité néerlandaise de protection des données, en raison de manquements aux obligations de transparence et d’information des chauffeurs (art. 12 et 13 du RGPD.

… pour transferts irréguliers de données personnelles hors UE

L’obligation de protéger les données à caractère personnel en cas de transfert

L’article 44 du RGPD pose le principe général de la garantie d’un niveau de protection suffisant en cas de transferts des données personnelles vers un pays hors UE.

En pratique, ces transferts existent lorsqu’une entreprise transmet des données personnelles à une société de son propre groupe mais établie hors UE ou lorsqu’elle recourt à un sous-traitant en dehors de l’UE.

Les données personnelles peuvent être transférées sans exigences supplémentaires dans un pays hors UE à la condition que cet État fasse l’objet d’une décision d’adéquation (art. 45 du RGPD), c’est-à-dire que la Commission européenne y ait constaté un niveau adéquat de protection des données personnelles.

En l’absence de décision d’adéquation, le transfert de données personnelles hors UE peut se faire dans le cadre d’exceptions spécifiques (art. 49 du RGPD) ou de « garanties appropriées » (art. 46 du RGPD). Peuvent ainsi constituer des « garanties appropriées » :

- L’existence de contrats incluant les clauses contractuelles types de la Commission européenne ;

- L’établissement de règles d’entreprise contraignantes instaurant une politique de protection des données conformes RGPD au sein des groupes ;

- L’adhésion à un code de conduite reprenant les bonnes pratiques du RGPD.

Le cas particulier du transfert de données vers les Etats-Unis

En juillet 2020, la Cour de Justice de l’Union européenne a rendu un arrêt invalidant la décision d’adéquation accordée aux Etats-Unis en raison de l’insuffisance dans les garanties concernant la collecte et l’utilisation des données personnelles par leurs services de renseignement. En raison des modifications apportées par la législation américaine, une nouvelle décision d’adéquation a été prise en juillet 2023.

Depuis, l’État américain établit une liste des organismes s’auto-certifiant dans la démarche de respect « du cadre de protection des données ». Uber y figure depuis le 21 novembre 2023.

Aussi, pour l’autorité néerlandaise, pendant la période (de « non-adéquation »), de 2020 à 2023, Uber aurait dû offrir des garanties appropriées supplémentaires.

Uber a annoncé faire appel de sa dernière condamnation, avançant que le processus de transfert des données était bien conforme au RGPD, et ce même entre 2020 et 2023.

Communiqué de presse de la CNIL - Transferts de données hors UE : sanction de 290 millions d'euros à l’encontre d’UBER, 26 août 2024 ; Communiqué de presse de la CNIL - Transferts de données vers les États-Unis : la Commission européenne adopte une nouvelle décision d’adéquation, 10 juillet 2023 ; Communiqué de presse de la CNIL - Adéquation des États-Unis : les premières questions-réponses, 17 juillet 2024