L’autorité néerlandaise de protection des données (DPA) a infligé une amende record de 290 millions d’euros (324 millions de dollars) à Uber pour ne pas avoir respecté les normes de protection des données de l’Union européenne (UE) lors de l’envoi de données sensibles sur les conducteurs aux États-Unis.
« L’APD néerlandaise a constaté qu’Uber avait transféré des données personnelles de chauffeurs de taxi européens aux États-Unis et n’avait pas protégé de manière appropriée les données concernant ces transferts », a indiqué l’agence. dit.
L’organisme de protection des données a déclaré que cette mesure constituait une violation « grave » du règlement général sur la protection des données (RGPD). En réponse, le service de transport de personnes, de coursiers et de livraison de repas a mis fin à cette pratique.
Uber aurait collecté des informations sensibles sur les chauffeurs et les aurait conservées sur des serveurs basés aux États-Unis pendant plus de deux ans. Ces informations comprenaient des informations sur les comptes et les licences de taxi, des données de localisation, des photos, des informations de paiement et des documents d’identité. Dans certains cas, ces informations contenaient également des données criminelles et médicales sur les chauffeurs.
La DPA a accusé Uber d’avoir effectué les transferts de données sans utiliser mécanismes appropriésd’autant plus que l’UE a invalidé le bouclier de protection des données UE-États-Unis en 2020. Un remplacement, connu sous le nom de cadre de protection des données UE-États-Unis, a été annoncé en juillet 2023.
« Étant donné qu’Uber n’utilise plus les clauses contractuelles types depuis août 2021, les données des chauffeurs de l’UE ne sont pas suffisamment protégées, selon l’APD néerlandaise », a déclaré l’agence. « Depuis la fin de l’année dernière, Uber utilise le successeur du Privacy Shield. »
Dans une déclaration partagée avec Bloomberg, Uber dit L’amende est « complètement injustifiée » et l’entreprise a l’intention de contester la décision. Elle a également déclaré que le processus de transfert transfrontalier de données était conforme au RGPD.
Plus tôt cette année, la DPA condamné à une amende Uber écope d’une amende de 10 millions d’euros pour ne pas avoir divulgué tous les détails de ses périodes de conservation des données concernant les conducteurs européens et les pays non européens avec lesquels il partage les données.
« Uber a rendu inutilement compliqué pour les conducteurs la soumission de demandes de consultation ou de réception de copies de leurs données personnelles », a noté la DPA en janvier 2024.
« En outre, ils n’ont pas précisé dans leurs conditions générales de confidentialité combien de temps Uber conserve les données personnelles de ses chauffeurs ou quelles mesures de sécurité spécifiques il prend lors de l’envoi de ces informations à des entités dans des pays extérieurs à l’UE. [European Economic Area] » . «
Ce n’est pas la première fois que des entreprises américaines se retrouvent dans le collimateur des autorités européennes de protection des données en raison de l’absence de protections de la vie privée équivalentes aux États-Unis en ce qui concerne les transferts de données au sein de l’UE, ce qui fait craindre que les données des utilisateurs européens puissent être soumises à des programmes de surveillance américains.
En 2022, les régulateurs autrichiens et français ont jugé que le mouvement transatlantique des données de Google Analytics constituait une violation des lois du RGPD.
« Pensez aux gouvernements qui peuvent exploiter les données à grande échelle », a déclaré Aleid Wolfsen, président de l’APD. « C’est pourquoi les entreprises sont généralement obligées de prendre des mesures supplémentaires si elles stockent des données personnelles d’Européens en dehors de l’Union européenne. »