Le cadre européen de la protection des données est notamment posé par le règlement (UE) 2016/679 général sur la protection des données (RGPD). Ce dernier encadre la collecte, l’utilisation et la protection des données personnelles [1] des citoyens de l’Union européenne et vise à garantir la confidentialité et la sécurité des informations, tout en responsabilisant les entreprises sur leurs traitements de données. Le 22 juillet dernier, les autorités de protection des données néerlandaise et française ont prononcé une amende de 290 millions d’euros à l’encontre des sociétés Uber B.V. et Uber Technologies, soulignant une série de manquements graves aux exigences du RGPD. Cette sanction s’inscrit dans un contexte plus large de régulation de la protection des données personnelles et de contrôle des transferts internationaux de données, notamment entre l’Union européenne et les Etats-Unis.

Cet article se propose d’explorer les implications juridiques de cette décision, le contexte et les antécédents de sanctions contre Uber et les défis à venir en matière de protection des données.

Contexte historique des sanctions Uber

L’autorité néerlandaise de protection des données avait déjà sanctionné Uber une première fois en 2018 à hauteur de 600 000 euros. Cette décision intervenait afin de sanctionner la société pour absence de notification à l’autorité de protection des données ainsi qu’aux personnes concernées par une violation de données conformément à l’article 33 du RGPD. La fuite de données en question avait affecté près de 57 millions d’utilisateurs Uber dont 174 000 citoyens néerlandais. Cette première décision avait donc déjà mis en lumière des lacunes concernant la gestion des données personnelles par la plateforme, et a ouvert la voie à des sanctions plus sévères.

Le 31 janvier 2024 en effet, après une procédure de coopération [2] entre les deux autorités de protection des données française et néerlandaise, différents manquements relatifs à l’exercice de droits [3] des personnes concernées ont également été sanctionnés. Parmi les manquements relevés figuraient la réponse non satisfaisante à une demande de droit d’accès, tel que prévu par l’article 15 du RGPD, le manque de clarté et d’accessibilité du formulaire permettant aux personnes concernées d’exercer leurs droits, la mention implicite de l’existence du droit à la portabilité (conformément à l’article 20 du RGPD) ou encore une information trop générale des durées de conservation appliquées aux données personnelles collectées. D’autre part, à l’occasion du prononcé de cette sanction à hauteur de 10 millions d’euros, les autorités avaient déjà soulevé le point des transferts de données effectués en dehors de l’Union européenne. Prémonitoire ou simple premier avertissement, le caractère incomplet des déclarations relatives aux transferts avait été relevé.

Le cas de transferts de données Union européenne/Etats-Unis

En application des articles 44 et suivants du RGPD, les transferts de données à caractère personnel sont strictement encadrés. Les responsables de traitement et les sous-traitants peuvent transférer des données en dehors de l’Union européenne à condition d’assurer un niveau de protection suffisant et approprié. Des outils permettent donc d’encadrer ces transferts. En pratique, lorsqu’un transfert de données est mis en place, il convient de déterminer le niveau d’adéquation du pays destinataire des données.

Si un pays a particulièrement fait parler en matière de transferts, c’est bien les Etats-Unis. Un temps considéré comme non adéquat, le cadre de protection des données UE/Etats-Unis a été marqué par différentes évolutions. De l’annulation du Safe Harbor [4] par la Cour de justice de l’Union européenne (CJUE) en octobre 2015, au regard des « risques d’ingérences par les autorités publiques américaines, dans les droits fondamentaux des personnes », à l’invalidation du Privacy Shield [5] par la même CJUE et pour des raisons similaires, les transferts de données de l’Europe vers les Etats-Unis ont donc été empêchés sur le fondement de ces accords.

De nouvelles négociations entre la Commission européenne et les Etats-Unis ont abouti à l’adoption du Data Privacy Framework applicable depuis le 10 juillet 2023 qui est donc considéré aujourd’hui comme offrant un niveau de protection adéquat. Ce nouveau cadre pose une série de règles applicables aux entreprises opérant des transferts UE/Etats-Unis : mise en place d’obligations renforcées (transparence, sécurité, minimisation), respect de mécanismes de surveillance (recours possible des citoyens européens devant des autorités indépendantes) et accès limité (proportionné et justifié) aux données par les autorités américaines.

Mais entre le 16 juillet 2020 et le 10 juillet 2023, les Etats-Unis n’étant pas considérés comme étant un pays bénéficiant d’un niveau de protection adéquat, la situation demeurait floue sur l’encadrement des transferts de données à caractère personnel entre les deux continents. C’est précisément ce que viennent condamner les autorités française et néerlandaise dans la présente décision. Pendant plus de deux ans, entre le 6 août 2021 et le 21 novembre 2023, Uber a envoyé à son siège américain et fait conserver sur des serveurs aux Etats-Unis des données relatives aux chauffeurs sans avoir conclu d’accord spécifique pour assurer un niveau de protection adéquat. Parmi les données personnelles concernées figuraient celles relatives aux comptes et licences de taxi, les données de localisation, les données de paiement, les documents d’identité et dans certains cas les données relatives aux infractions et les données médicales de chauffeurs.

La présidente de l’autorité néerlandaise précise : « Pensez aux gouvernements qui peuvent exploiter les données à grande échelle. » L’écart du niveau de protection européen avec le reste du monde peut parfois obliger les entreprises « à prendre des mesures supplémentaires si elles stockent des données personnelles d’Européens en dehors de l’Union européenne ». Les sociétés Uber B.V. et Uber Technologies Inc., ont donc été condamnées solidairement car qualifiées de responsables de traitements conjoints. Ces derniers ont fait part de leur souhait d’exercer une voie de recours à l’encontre de la présente décision. De son côté, la Ligue des droits de l’Homme envisage d’engager une action de groupe contre Uber pour permettre aux 40 000 à 50 000 chauffeurs en France, tous supposés victimes de ces mêmes infractions, d’être indemnisés au regard des préjudices subis.

[1] Une donnée personnelle au sens du RGPD est « toute information se rapportant à une personne physique identifiée (par exemple par le biais de son nom-prénom) ou identifiable (par exemple par le biais d’un numéro de téléphone ou d’un identifiant) ».

[2] Lorsque dans le cadre d’un contrôle ou du traitement d’une plainte, le traitement de données personnelles sur lequel porte la procédure est un traitement transfrontalier, une coopération européenne s’engage. C’est notamment le cas dans le cadre d’une procédure de sanction. Dans cette hypothèse, le projet de décision est transmis aux autorités de contrôle concernées qui peuvent formuler des objections sur celui-ci. Ici, la Cnil a transmis le dossier à l’autorité néerlandaise de protection des données, compétente en raison de la présence de l’établissement principal d’Uber aux Pays-Bas.

[3] La réglementation en matière de protection des données à caractère personnel (entendu au sens du RGPD notamment en son chapitre III et de la loi n° 78-17 du 6 janvier 1978 dite Informatique et Libertés modifiée) accorde des droits aux personnes concernées par des traitements de leurs données personnelles. Ainsi les personnes disposent du droit d’accès, de rectification, de suppression, de portabilité et de limitation et d’opposition.

[4] Adopté en 2000, le Safe Harbour est un mécanisme permettant aux entreprises américaines de transférer des données personnelles depuis l’Union européenne, tout en respectant les normes européennes de protection des données. Ce cadre venait poser des principes en matière de protection des données et notamment en matière de notification, de sécurité et d'intégrité des données, d’encadrement des transferts vers des partenaires.

[5] Le Privacy Shield reposait sur un mécanisme d’auto-certification pour les sociétés établies aux Etats-Unis. Par rapport au Safe Harbor, ce nouveau cadre prévoyait un mécanisme de surveillance renforcé, a introduit des garanties supplémentaires en matière de limitation de l’accès gouvernemental, et a posé des obligations renforcées en matière de transparence. Dans une décision du 16 juillet 2020, la CJUE a invalidé le Privacy Shield estimant que les garanties n’étaient pas suffisantes pour assurer une protection des citoyens européens à l'égard du transfert de leurs données. Cette invalidation a conduit à rendre impossible les transferts sur ce fondement.