Uber sanctionné de 290 millions d’euros pour violations du RGPD
Le 22 juillet 2024, en collaboration avec la CNIL, l'autorité néerlandaise de protection des données a infligé une amende de 290 millions d'euros aux entreprises UBER B.V. et UBER TECHNOLOGIES INC. pour avoir transféré des données personnelles en dehors de l'UE sans garanties adéquates.
UBER se compose de deux entités : UBER B.V., une société néerlandaise basée à Amsterdam, et UBER TECHNOLOGIES INC., une entreprise américaine dont le siège social est à San Francisco. UBER exploite notamment une plateforme qui met en relation des chauffeurs VTC avec des utilisateurs.
La CNIL avait reçu une plainte collective de l’association La Ligue des droits de l’Homme, représentant plus de 170 chauffeurs utilisant la plateforme UBER. Cette plainte portait principalement sur l’information des personnes concernées et les transferts de données personnelles en dehors de l’Union européenne. Le 11 décembre 2023, l’autorité néerlandaise avait déjà infligé une amende de dix millions d’euros pour plusieurs manquements concernant l’information des chauffeurs.
Une coopération étroite avec la CNIL tout au long de la procédure En vertu des procédures de coopération entre les autorités prévues par le règlement général sur la protection des données (RGPD), c’est l’autorité néerlandaise de protection des données qui était compétente pour mener les investigations dans cette affaire, UBER ayant son siège principal aux Pays-Bas.
La CNIL a collaboré étroitement avec son homologue néerlandais tout au long de la procédure, notamment lors des contrôles, de l’analyse des preuves recueillies, et de l’examen du projet de décision dans le cadre de la procédure du guichet unique.
Le manquement constaté
À l’issue des investigations, l’autorité néerlandaise de protection des données a établi que les données personnelles des chauffeurs, traitées conjointement par UBER B.V. et UBER TECHNOLOGIES INC., ont été transférées vers les États-Unis. Il a été constaté que ces transferts, effectués entre le 6 août 2021 et le 21 novembre 2023 (date à laquelle Uber a été inscrit sur la liste du Data Privacy Framework (DPF)), n’étaient pas accompagnés de garanties adéquates. L’autorité néerlandaise a conclu à un manquement à l’article 44 du RGPD.
La CNIL a informé les plaignants de cette décision, conformément aux dispositions du RGPD.
Mise en Conformité RGPD
Vous souhaitez être conforme au RGPD, venez tester gratuitement Dastra !