Uber condamnée à une amende record de 290 millions d'euros pour violation du RGPD

Uber, dont le siège européen est situé aux Pays-Bas, est accusé par l'Autorité néerlandaise de protection des données (AP) d'avoir transféré des informations sensibles de chauffeurs, telles que des données d'identité, des coordonnées bancaires, des données de localisation et, dans certains cas, des informations médicales et judiciaires, à son siège aux États-Unis. Ce transfert, effectué sur une période de plus de deux ans, a été jugé par la AP comme une violation sérieuse du Règlement général sur la protection des données (RGPD). Aleid Wolfsen, le président de la AP, a souligné que « les données envoyées en dehors de l'Union européenne doivent bénéficier du même niveau de protection que celles traitées à l'intérieur de l'UE ». Selon lui, Uber n'a pas pris les mesures de protection nécessaires pour garantir la sécurité des données, les exposant ainsi à des risques de détournement potentiels dans un environnement où la surveillance et les garanties sont insuffisantes, comme c'est le cas aux États-Unis.

L'enquête ayant conduit à cette amende a débuté après la plainte de plus de 170 chauffeurs français, déposée auprès de l'autorité française de protection des données, qui a ensuite transféré le dossier à son homologue néerlandais en raison du siège d'Uber à Amsterdam. Cette collaboration entre autorités européennes a permis de mettre en lumière l'ampleur des manquements d'Uber. Malgré les sanctions précédentes — une amende de 600.000 euros en 2018 pour un signalement tardif de fuite de données, et une autre de 10 millions d'euros en 2023 pour des pratiques opaques concernant la conservation des données —, Uber semble avoir persisté dans des pratiques problématiques. La gravité de la situation actuelle est telle que la AP a infligé une amende équivalente à près de 1% du chiffre d'affaires mondial d'Uber en 2023, qui s'élevait à 34,5 milliards d'euros. Cette sanction a un effet dissuasif important, selon Aleid Wolfsen, visant à rappeler aux entreprises de l'importance cruciale de la protection des données personnelles.

Uber, cependant, conteste vigoureusement cette décision, qualifiant l'amende d'« injuste et disproportionnée ». L'entreprise affirme qu'il existait une incertitude concernant les règles de transfert de données à l'époque des faits et qu'elle avait déjà pris des mesures pour se conformer à la législation en vigueur. Elle a annoncé son intention de faire appel, et se dit prête à porter l'affaire devant les tribunaux si nécessaire. Malgré ces contestations, l'AP maintient sa position, appuyée par les jugements clairs de la Cour de justice de l'Union européenne, qui stipule que les données européennes doivent rester dans l'UE, sauf si des garanties équivalentes sont assurées dans le pays tiers.