Transferts de données hors UE : sanction de 290 millions d’euros à l’encontre d’UBER

août 2024 par CNIL

Le 22 juillet 2024, en coopération avec la CNIL, l’autorité néerlandaise de protection des données a prononcé à l’encontre des sociétés UBER B.V. et UBER TECHNOLOGIES INC. une amende de 290 millions d’euros pour avoir transféré des données personnelles hors UE sans garanties suffisantes.

UBER regroupe UBER B.V., société néerlandaise située à Amsterdam, et UBER TECHNOLOGIES INC., société étatsunienne, dont le siège social est à San Francisco. UBER édite notamment une plateforme mettant en relation des chauffeurs VTC avec des utilisateurs.

La CNIL avait reçu une plainte collective de l’association La Ligue des droits de l’Homme, représentant plus de 170 chauffeurs de la plateforme UBER. Cette plainte concernait notamment l’information des personnes et les transferts de données personnelles hors de l’Union européenne. Le 11 décembre 2023, l’autorité néerlandaise avait prononcé une première amende de dix millions d’euros pour plusieurs manquements à l’information des chauffeurs.

Une coopération avec la CNIL tout au long de la procédure

En application des procédures de coopération entre autorités instaurées par le règlement général sur la protection des données (RGPD), c’est l’autorité néerlandaise de protection des données qui était compétente pour mener les investigations sur ce dossier, UBER ayant son établissement principal aux Pays-Bas.

La CNIL a étroitement coopéré avec son homologue tout au long de la procédure, au moment des contrôles et de l’analyse des preuves obtenues, puis lors de l’examen du projet de décision dans le cadre de la procédure du guichet unique.

Le manquement retenu

À l’issue des investigations menées, l’autorité néerlandaise de protection des données a constaté que les traitements de données personnelles des chauffeurs pour lesquels UBER B.V. et UBER TECHNOLOGIES INC. sont responsables conjoints font l’objet de transferts vers les États-Unis. L’autorité néerlandaise relève qu’entre le 6 août 2021 et le 21 novembre 2023 (date d’inscription d’Uber sur la liste du Data Privacy Framework (DPF)), ces transferts entre UBER B.V. et UBER TECHNOLOGIES INC. n’ont pas été encadrés par des garanties appropriées. Elle conclut à un manquement à l’article 44 du RGPD.

La CNIL a informé les plaignants de cette décision conformément à ce que prévoit le RGPD.

[EN] Data transfers outside the EU : UBER fined €290 million

