Uber cumule 300 millions d’euros d’amendes au titre du RGPD

Le service de voitures de tourisme avec chauffeur (VTC) Uber vient d’être frappé d’une amende de 290 millions d’euros au titre du RGPD après une première sanction de dix millions en décembre 2023. Le siège européen d’Uber est situé aux Pays-Bas et c’est donc l’autorité de protection des données personnelles néerlandaise qui était « guichet unique » et chef de file dans la procédure. Uber étant présent en France, la CNIL a évidemment été amenée à collaborer dans la procédure comme le rappelle son communiqué.

La procédure a été lancée suite à une série de plaintes. En France, la plainte était portée par la Ligue des Droits de l’Homme et le syndicat INV-FO au nom des chauffeurs Uber. Il est reproché à Uber d’avoir transféré des données personnelles concernant les chauffeurs aux Etats-Unis entre le 6 août 2021 et le 21 novembre 2023. A compter de cette date, Uber s’est inscrit dans la démarche du Data Privacy Framework (DPF). Sur la période considérée, les transferts de données personnelles « n’ont pas été encadrés par des garanties appropriées », constituant de ce fait des infractions à l’article 44 du RGPD.

Le « Cadre de protection des données personnelles » (Data Privacy Framework, DPF) a été adopté par la Commission Européenne il y a un an. Il vise à encadrer les transferts de données vers les Etats-Unis afin de les rendre possible (dans certaines conditions) malgré les contradictions entre le RGPD et la législation américaine (Cloud Act, Patriot Act, etc.). Le DPF fait suite à l’annulation par la Cour de Justice de l’Union européenne des accords Safe Harbor puis Privacy Shield. Noyb, l’association de Max Schrems, avait annoncé lancer une procédure en annulation également contre le DPF.