Le 22 août 2024, l’autorité de protection des données personnelles néerlandaise (AP) a reconnu la société américaine Uber Technologies Inc. et la société néerlandaise Uber B.V. coupables d’avoir transféré des données de chauffeurs exerçant en France hors de l’Union Européenne (UE) vers son siège, situé aux Etats-Unis, sans garanties suffisantes, entre le 6 août 2021 et le 21 novembre 2023. L’enquête a été ouverte aux Pays-Bas, lieu du siège de l’une des sociétés Uber, à la suite d’une plainte en France de 172 chauffeurs, et a été menée en collaboration avec l’autorité de protection française (CNIL). Uber a été condamné à payer une amende 290 millions d’euros.
- Comment le RGPD encadre-t-il les transferts de données personnelles vers des pays non conformes aux normes européennes ?
Le RGPD encadre strictement les transferts de données personnelles hors UE.
Tout d’abord, la Commission européenne peut décider qu’un pays tiers offre un niveau de protection adéquat, c’est-à-dire équivalent à celui de l’Union Européenne, ce qui permet les transferts sans mesures supplémentaires. En l’absence d’adéquation, les entreprises doivent mettre en œuvre des garanties appropriées, telles que la conclusion de clauses contractuelles types (CCT) ou les règles d’entreprise contraignantes (BCR). Dans certains cas exceptionnels, des dérogations peuvent être appliquées, comme le consentement explicite de la personne concernée ou le transfert nécessaire à l’exécution d’un contrat.
La liste des pays adéquats est restreinte et comprend les pays membres de la zone EEE ainsi que des pays comme le Canada ou le Japon.
Le cas des États-Unis est plus complexe. Le pays était considéré comme « adéquat » jusqu’à une décision de la CJUE du 16 juillet 2020, appelée Schrems II. Le 10 juillet 2023, après d’intenses tractations, la Commission Européenne a reconnu le pays comme « en adéquation partielle », via le mécanisme dit du Data Privacy Framework permettant à certaines entreprises américaines de collecter et traiter des données personnelles en provenance de l’Union Européenne sans démarche complémentaire.
Tous les transferts de données doivent en outre respecter les principes généraux de protection des données énoncés par le RGPD.
- Quelles mesures Uber pourrait-elle prendre pour se conformer aux réglementations européennes sur la protection des données et éviter de telles sanctions à l’avenir ?
L’enquête a révélé qu’Uber avait stocké des données personnelles sensibles de ses chauffeurs européens, telles que leurs données bancaires ou leurs documents d’identité, sur des serveurs américains sans mesures de protection adéquates pendant plus de deux ans. Entre l’arrêt Schrems II de 2020 et la décision de la Commission européenne de 2023, le transfert de données personnelles vers les États-Unis n’était autorisé que dans certaines conditions garantissant un niveau de protection équivalent à celui de l’Union Européenne. Cependant, Uber n’a pas mis en œuvre de telles mesures avant fin 2023.
Pour se conformer aux réglementations européennes, Uber pouvait prendre plusieurs mesures en partie cumulatives et notamment :
- s’assurer que tous les transferts de données personnelles vers des pays tiers soient encadrés par des garanties appropriées, telles que des accords de traitement des données personnelles (DPA) conclus entre différentes entités, y compris d’un même groupe ;
- renforcer ses mesures de sécurité internes pour protéger les données personnelles, en mettant en place des protocoles de chiffrement robustes et en limitant l’accès aux données sensibles ;
- effectuer des audits réguliers de ses pratiques de gestion des données pour s’assurer de leur conformité avec le RGPD ;
- former ses employés.
- Quels sont les droits des utilisateurs d’Uber dans ce contexte, et comment peuvent-ils s’assurer que leurs données sont protégées conformément au RGPD ?
Toute personne en UE dispose de droits en application du RGPD pour protéger ses données personnelles, notamment le droit à l’information, le droit d’accès, le droit de rectification, le droit à l’effacement, le droit à la limitation du traitement, le droit à la portabilité des données, et le droit d’opposition.
Pour les faire valoir, les utilisateurs peuvent notamment prendre les mesures suivantes :
- Exercer leurs droits : La société est tenue de répondre à ces demandes dans un délai d’un mois. A défaut de réponse, les utilisateurs peuvent saisir l’autorité nationale compétente pour la protection des données, comme l’AP aux Pays-Bas ou la CNIL en France ;
- Utiliser des outils de protection des données : tels que les paramètres de confidentialité et des options de consentement pour contrôler la manière dont les données sont partagées et utilisées.
- Quelles sont les conséquences de cette amende pour Uber, tant sur le plan financier que sur sa réputation en Europe ?
Sur le plan financier, l’entreprise a été condamnée à une amende de 290 millions. En termes de réputation, cette amende pourrait ternir l’image d’Uber en Europe, d’autant qu’Uber a déjà été condamné pour violation de sécurité des données.
Uber a fait appel de la décision de l’AP et dénonce une période d’incertitude entre les Etats-Unis et l’UE sur la manière d’assurer la protection des données personnelles à la suite de la décision « Schrems » II de 2020, qui a déchu les Etats-Unis de leur statut de pays adéquat jusqu’à la décision de la Commission européenne de 2023.
- Quelles sont les implications de cette affaire pour d’autres entreprises internationales opérant en Europe, en termes de conformité aux règles du RGPD ?
Cette affaire sert de rappel aux entreprises sur l’importance de la conformité continue aux règles du RGPD. Ce règlement s’applique à toute organisation, qu’elle soit publique ou privée, indépendamment de sa taille ou son secteur d’activité, dès lors qu’elle traite des données personnelles de résidents de l’UE. Cela concerne les entreprises établies dans l’UE et les entreprises non européennes, lorsqu’elles offrent des biens ou des services aux résidents de l’UE.
Les entreprises doivent rester extrêmement vigilantes lorsqu’elles transfèrent des données personnelles en dehors de l’UE. L’affaire Uber montre que les autorités de protection des données européennes surveillent de près ces transferts et n’hésitent pas à imposer des sanctions sévères en cas de non-conformité.
Une contribution de Mathilde Carle, avocate chez Kramer Levin (Paris), avec l’aide de Mathilde Pennès, élève-avocate.
