Table des matières
Uber, leader mondial des VTC, est confronté à une amende record de 290 millions d’euros pour non-respect du RGPD en Europe. Cette décision des autorités néerlandaises met en lumière des pratiques de gestion des données personnelles qui ont conduit à de graves infractions, affectant des milliers de chauffeurs sur le continent.
Après OpenAI et sa violation du RGPD sanctionnée par l’Italie, c’est au tour d’Uber aux Pays-Bas. La sanction infligée à Uber par l’autorité néerlandaise de protection des données (AP) fait suite à des investigations sur le transfert de données personnelles des chauffeurs européens vers les États-Unis. L’enquête a révélé qu’Uber n’avait pas respecté les exigences du RGPD, ne fournissant pas les garanties nécessaires pour protéger les informations sensibles de ses chauffeurs. Les données en question incluaient des documents d’identité, des informations financières, et même des dossiers médicaux dans certains cas.
Ces manquements ont conduit le régulateur néerlandais à imposer une amende particulièrement lourde, soulignant la gravité des violations commises. Cette décision s’inscrit dans une volonté plus large de l’Union européenne de renforcer la protection des données personnelles face aux pratiques des géants de la tech.
L’affaire a débuté en France, où 170 chauffeurs Uber ont porté plainte auprès de la Commission nationale de l’informatique et des libertés (CNIL). La CNIL avait alors imposé une amende de 10 millions d’euros à l’entreprise pour des manquements similaires au RGPD. Cependant, étant donné que le siège européen d’Uber se trouve aux Pays-Bas, la gestion de l’affaire a été transférée à l’autorité néerlandaise, qui a approfondi l’enquête à l’échelle européenne.
Cette investigation élargie a permis de mettre en lumière des pratiques problématiques au-delà des frontières françaises, impliquant de nombreux chauffeurs à travers l’Europe et soulevant des questions sur la conformité globale d’Uber avec le RGPD.
Uber a réagi avec fermeté à l’annonce de cette amende, la qualifiant d’injustifiée. Un porte-parole de l’entreprise a déclaré que les transferts de données entre l’Union européenne et les États-Unis s’étaient déroulés en conformité avec les règles du RGPD, notamment durant une période marquée par de fortes incertitudes réglementaires. L’entreprise a annoncé son intention de faire appel de la décision, contestant les conclusions de l’autorité néerlandaise.
Avec cette affaire, on constate que les tensions entre les grandes entreprises technologiques américaines et asiatiques (Meta, Alphabet, ByteDance, Shein, Temu…) et les régulateurs européens sur la question de la protection des données personnelles, un domaine où l’Union européenne cherche à maintenir des normes strictes face aux défis de la mondialisation numérique.