Partager:
L'autorité néerlandaise de protection des données personnelles (AP) a déclaré lundi avoir infligé une amende de 290 millions d'euros à l'encontre d'Uber en raison de transferts de données insuffisamment protégées de chauffeurs européens vers les États-Unis.
Le régulateur néerlandais estime qu'Uber, dont le siège européen se trouve aux Pays-Bas, s'est rendu coupable de "violation grave du règlement général sur la protection des données (RGPD)" en vigueur dans l'Union européenne.
"Uber n'a pas assuré le niveau de protection des conducteurs requis par le RGPD pour les transferts de données vers les États-Unis. C'est très grave", a souligné dans un communiqué le président de l'AP, Aleid Wolfsen.
Le régulateur néerlandais a indiqué qu'Uber avait collecté des informations sensibles sur les chauffeurs européens, notamment des licences de taxi, données de localisation, photos, détails de paiement, documents d'identité, "et dans certains cas même des données pénales et médicales de chauffeurs".
"La société a transféré ces données au siège social d'Uber aux États-Unis pendant plus de 2 ans, sans utiliser d'outil de transfert", a précisé l'AP. "De ce fait, la protection des données personnelles n’était pas suffisante", a-t-elle relevé.
Uber va faire appel de l'amende. "Cette décision biaisée et cette amende tout à fait inhabituelle sont totalement injustifiées", a estimé une porte-parole dans un communiqué. "Le processus de transfert transfrontalier de données d'Uber était conforme au RGPD pendant la période de trois ans caractérisée par une immense incertitude entre l'UE et les États-Unis", a-t-elle ajouté.
"Nous ferons appel et restons confiants dans le fait que le bon sens prévaudra", a-t-elle indiqué.
- Plaintes en France -
L'UE a mis en place une série de règles pour les grandes entreprises du secteur de la technologique et a imposé ces dernières années d'importantes amendes en cas de violation.
L'AP avait ouvert une enquête sur Uber après une plainte en France de plus de 170 chauffeurs. L'enquête a été menée en collaboration avec la Commission nationale de l'informatique et des libertés (CNIL).
En vertu du RGPD, les agissements d'une entreprise qui traite des données dans plusieurs pays de l'UE sont régis par l'autorité de protection des données où se trouve son siège social.
"En Europe, le RGPD protège les droits fondamentaux des personnes en exigeant que les entreprises et les gouvernements traitent les données personnelles avec précaution", a affirmé Aleid Wolfsen.
"Malheureusement, cela ne va pas de soi en dehors de l'Europe. Pensez aux gouvernements qui peuvent exploiter les données à grande échelle", a ajouté M. Wolfsen.
"C'est pourquoi les entreprises sont généralement tenues de prendre des mesures supplémentaires lorsqu'elles stockent des données personnelles d'Européens en dehors de l'Union européenne, a-t-il poursuivi.
Uber a désormais mis fin à la violation, selon l'AP.
Il s'agit de la troisième amende infligée par le régulateur néerlandais à Uber. En 2018, Uber a écopé d'une amende de 600.000 euros et en 2023 une amende de 10 millions d'euros. Uber a fait appel de cette dernière amende.
burs-cvo/spi