Uber, pas réglo vis-à-vis du RGPD ? Ainsi en a décidé l’autorité néerlandaise de protection des données. Elle a infligé 290 M€ d’amende à l’entreprise américaine.

La CNIL a relayé cette condamnation, et pour cause : elle avait reçu la plainte à l’origine du dossier. C’était le 12 juin 2020. Dépositaire : la Ligue des droits de l’homme, au nom d’un collectif de chauffeurs VTC. Principal élément dénoncé : la difficulté, pour ces chauffeurs, d’accéder à leurs données personnelles (soumission de demandes, délais de réponse, incomplétude des fichiers fournis…). Un enjeu d’autant plus important dans le contexte de demandes de requalification en contrat salarié.

Uber avait abandonné les clauses contractuelles types

La filiale européenne Uber B.V. ayant son siège à Amsterdam, la CNIL néerlandaise avait hérité de l’affaire. En décembre 2023, elle avait condamné la société – et sa maison mère basée à San Francisco – à 10 M€ d’amende. Ce pour plusieurs motifs. D’une part, des informations insuffisantes sur les périodes de conservation des données en question et sur les pays hors Europe dans lesquelles ces données étaient partagées. De l’autre, un obstacle à l’exercice du droit à la vie privée des chauffeurs.

Uber a fait appel. En attendant l’issue de ce litige, il a donc essuyé une autre condamnation. À 290 M€, l’amende représente environ 0,8 % du CA 2023 du groupe. Ce qui lui est reproché : des transferts de données personnelles de chauffeurs – dont certaines sensibles – vers les États-Unis sans les garanties appropriées. En d’autres termes, une violation de l’article 44 du RGPD. L’infraction a commencé le 6 août 2021, date à laquelle Uber a cessé d’utiliser des clauses contractuelles types. Elle a pris fin le 21 novembre 2023, au moment où l’entreprise s’est ralliée au Data Privacy Framework.

Illustration © agsandrew – Shutterstock