L’autorité néerlandaise de protection des données inflige à Uber une amende de 290 millions d’euros pour le transfert de données de chauffeurs vers les États-Unis
(autoriteitpersoonsgegevens.nl)- L’autorité néerlandaise de protection des données (DPA) estime qu’Uber a commis une violation grave du RGPD en transférant les données personnelles de chauffeurs de taxi européens vers les États-Unis sans mettre en place les garanties nécessaires
- Les informations transférées comprenaient des données de compte et des licences de taxi, des données de localisation, des photos, des informations de paiement, des pièces d’identité, ainsi que, pour certains chauffeurs, des données pénales et médicales
- Uber a envoyé ces données à son siège américain pendant plus de deux ans et, depuis août 2021, n’utilisait plus les Standard Contractual Clauses, ce qui a conduit à juger que la protection des données des chauffeurs de l’UE n’était pas suffisante
- L’enquête a débuté à la suite de plaintes déposées par plus de 170 chauffeurs français ; le siège européen d’Uber étant situé aux Pays-Bas, la DPA néerlandaise s’est coordonnée avec la DPA française et d’autres DPA européennes
- Uber a mis fin à l’infraction et utilise depuis la fin de l’an dernier le cadre successeur du Privacy Shield, mais a fait part de son intention de contester l’amende de 290 millions d’euros
La décision de violation du RGPD visant Uber
- La DPA néerlandaise estime qu’Uber n’a pas garanti le niveau de protection exigé par le RGPD lors du transfert vers les États-Unis des données personnelles de chauffeurs de taxi européens
- Les données concernées étaient stockées sur des serveurs américains, et leur périmètre ne se limitait pas aux informations de compte ordinaires
- Informations de compte et licences de taxi
- Données de localisation, photos, informations de paiement, pièces d’identité
- Données pénales et données médicales de certains chauffeurs
- Aleid Wolfsen, président de la DPA néerlandaise, a déclaré qu’en dehors de l’Europe, la protection des données personnelles n’allait pas de soi, et que les entreprises qui stockent les données personnelles d’Européens hors de l’UE doivent généralement prendre des mesures supplémentaires
- Uber a désormais mis fin à l’infraction liée aux transferts vers les États-Unis
Règles de transfert international de données et déroulement de l’enquête
- Pendant plus de deux ans, Uber a transféré les données de chauffeurs vers son siège américain sans utiliser de transfer tools, ce qui a conduit à juger que la protection des données personnelles n’était pas suffisante
- La Cour de justice de l’UE a invalidé en 2020 l’EU-US Privacy Shield
- Les Standard Contractual Clauses peuvent servir de base au transfert de données vers des pays hors UE
- Mais elles doivent pouvoir garantir en pratique un niveau de protection équivalent
- À partir d’août 2021, Uber n’a plus utilisé les Standard Contractual Clauses, et utilise depuis la fin de l’an dernier le cadre successeur du Privacy Shield
- L’enquête a commencé après que plus de 170 chauffeurs français ont déposé plainte auprès de l’organisation française de défense des droits humains Ligue des droits de l’Homme (LDH), puis que la LDH a saisi la DPA française
- Selon le principe de guichet unique (one-stop-shop) du RGPD, une entreprise qui traite des données dans plusieurs États membres de l’UE relève de la DPA du pays où se trouve son établissement principal
- Le siège européen d’Uber se trouve aux Pays-Bas
- La DPA néerlandaise a coopéré étroitement avec la DPA française et coordonné sa décision avec d’autres DPA européennes
Montant de l’amende et précédentes sanctions d’Uber
- Les amendes infligées aux entreprises par les DPA européennes sont calculées selon la même méthode, avec un plafond fixé à 4 % du chiffre d’affaires annuel mondial de l’entreprise
- Le chiffre d’affaires mondial d’Uber en 2023 était d’environ 34,5 milliards d’euros
- Uber a indiqué son intention de contester cette amende de 290 millions d’euros
- Il s’agit de la troisième amende infligée à Uber par la DPA néerlandaise
- En 2018, elle a infligé une amende de 600 000 euros liée à une fuite de données
- En 2023, elle a infligé une amende de 10 millions d’euros pour violation des règles de confidentialité, amende qu’Uber conteste également
1 commentaires
Commentaires sur Hacker News
Ce qui est intéressant, c’est que, au moins dans le secteur bancaire, les données américaines sont presque toujours gérées par des personnes situées hors des États-Unis
Les serveurs peuvent être aux États-Unis, mais les personnes qui y accèdent sont probablement en Europe ou en Inde
Pendant l’accès, les données existent temporairement de ce côté-là, donc les États-Unis ont eux aussi besoin de lois plus strictes sur ce point
J’aimais l’époque où Internet donnait l’impression d’être un réseau mondial d’ordinateurs où les frontières comptaient peu, donc il m’est un peu étrange d’accepter comme une évidence l’idée que les frontières finissent aussi par compter sur Internet
L’explication de 0x62 m’a aidé : https://news.ycombinator.com/item?id=41357888
Je n’avais pas pensé à cette structure où les fournisseurs s’imbriquent récursivement
Même si l’on est totalement innocent
À ma connaissance, le RGPD ne couvre pas ces données, donc les faire passer de l’autre côté d’une frontière n’est pas forcément interdit
Le problème, ce sont les données protégées par le RGPD de citoyens de l’UE : sauf exceptions spécifiques, comme l’application de la loi, elles ne peuvent pas franchir une frontière hors UE
Si un employé en Inde consulte des données stockées aux États-Unis, il est clair que les données arrivent en Inde au moment où elles s’affichent à l’écran, mais formellement cela peut ne pas être considéré comme un transfert des États-Unis vers l’Inde
Ce qui compte, c’est la juridiction légale dont relève le responsable du traitement ou le sous-traitant ; si les données sont déplacées vers un sous-traitant relevant d’une autre juridiction, il y a transfert
Dans un autre article (https://nos.nl/l/2534629, en néerlandais), Uber affirme avoir discuté avec l’Autoriteit Persoonsgegevens de « lois peu claires »
D’après la traduction iOS, un porte-parole d’Uber explique que l’entreprise a contacté directement l’AP en raison de l’ambiguïté des règles relatives à la vie privée, et que le régulateur ne lui a pas dit à l’époque qu’elle enfreignait ces règles
Mais si une entreprise riche, dotée d’une équipe juridique bien structurée, n’est pas certaine que quelque chose soit autorisé, cela ne se transforme pas pour autant en droit de le faire
Et l’amende doit être de cette ampleur. Elle ne doit pas devenir un simple coût d’exploitation ; respecter la ligne rouge doit être dans l’intérêt de tout le monde, des actionnaires jusqu’au bas de l’échelle
Quand on lit que « depuis la fin de l’année dernière, Uber utilise le dispositif qui succède au Privacy Shield », on a l’impression qu’elle risque encore d’être jugée en tort plus tard, vu la manière dont ces dispositifs se sont continuellement effondrés
La Commission européenne ne gère pas bien ce sujet
Et elle a aussi lancé la « certification » de conformité à ce cadre : https://www.dataprivacyframework.gov/list
Les différentes autorités de protection des données peuvent donc, pour ce nouveau cadre, suivre l’interprétation de la CE sur l’adéquation au regard du RGPD
Cela dit, Schrems a déjà annoncé qu’il contesterait ce cadre, donc l’incertitude reste forte
Le seul choix « sûr », sans incertitude, semble être de concevoir tous les systèmes de sorte que les données ne transitent pas par les États-Unis et ne soient pas non plus hébergées par des filiales dépendant d’une maison mère située aux États-Unis
C’est un peu amusant qu’Uber ait été sanctionnée aux Pays-Bas. Sur place, les taxis traditionnels sont tellement protégés qu’on voit à peine Uber
Je n’ai pas les chiffres exacts, mais si cela représente au moins 15 euros par habitant, c’est une très grosse amende, et rapporté à chaque chauffeur, cela pourrait faire environ 25 000 euros
On a l’impression que le régulateur néerlandais dit : « Vous ne pourriez pas simplement partir ? » et Uber doit probablement le ressentir ainsi
Une plainte déposée auprès de l’autorité française de protection des données a été transmise au côté néerlandais
L’amende a été émise par le régulateur néerlandais, mais l’enquête a commencé en France, où 21 chauffeurs Uber français ont saisi en juin 2020 l’organisation de défense des droits humains Ligue Des Droits De L'homme Et Du Citoyen
Ensuite, 151 chauffeurs Uber supplémentaires se sont joints à la plainte, et la LDH l’a portée devant le régulateur français de la protection des données, la CNIL, qui l’a ensuite transmise en janvier 2021 à l’autorité néerlandaise de protection des données au motif que le siège européen d’Uber se trouvait aux Pays-Bas
Parce qu’elle aime le régime fiscal local
Selon la DPA, la procédure d’appel devrait durer environ 4 ans, donc ce sera en pratique un appel de 4 ans
Toutes les autorités européennes de protection des données calculent les amendes infligées aux entreprises de la même manière, et elles peuvent aller jusqu’à 4 % du chiffre d’affaires annuel mondial de l’entreprise
L’enquête de la DPA néerlandaise sur Uber a commencé après que plus de 170 chauffeurs français ont déposé une plainte auprès de l’organisation française de défense des droits humains LDH, qui l’a ensuite transmise à la DPA française
Je me demande sur quelle base les chauffeurs ont commencé à avoir des soupçons.
Pour ma part, j’ai eu un lien avec une organisation américaine il y a longtemps, puis je l’ai complètement oubliée.
Près de 15 ans plus tard, j’ai commencé à recevoir du spam par e-mail depuis une adresse du siège de Washington, et malgré ma demande d’arrêt, cela n’a pas cessé.
Quand j’ai engagé une démarche juridique au titre du RGPD et demandé la suppression, ils ont répondu qu’ils s’y conformaient, mais un an plus tard, du spam est de nouveau arrivé depuis la même adresse.
J’ai donc compris qu’ils n’avaient pas supprimé mes informations et qu’ils les conservaient aux États-Unis.
Je me demande comment cette affaire est liée au EU–US Data Privacy Framework
Je pensais que ce cadre était le remplaçant de l’EU–US Privacy Shield et qu’il visait à autoriser ce type de transferts ; avant 2020, à l’époque du Privacy Shield, cela ne semblait donc pas poser problème.
Est-ce que j’ai mal compris ?
Le Privacy Shield a été invalidé en 2020, et il ne restait plus que les clauses contractuelles types comme mécanisme de transfert valable.
Uber a cessé d’utiliser les clauses contractuelles types en août 2021, avant l’introduction du nouveau cadre de protection de la vie privée en 2023, et a transféré pendant deux ans des informations très sensibles sans mécanisme valide.
[1]: https://www.autoriteitpersoonsgegevens.nl/en/current/dutch-d...
En substance, le Framework est, comme l’ancien Shield, une tentative de la Commission pour dire : « regardez, on a corrigé ça ».
Malheureusement, les deux fois précédentes, la CJUE a estimé a posteriori que l’insuffisance du droit américain en matière de protection des données ne pouvait pas être corrigée par un quelconque cadre, et que le Shield non plus, comme son prédécesseur, n’autorisait pas réellement les pouvoirs qu’il prétendait encadrer.
Ce Framework n’a pas encore été examiné par la CJUE, mais comme le droit américain n’a pas vraiment changé, l’issue semble assez prévisible.
Nous avons eu de la chance de vivre cette brève période où Internet était vraiment un réseau mondial.
Quelqu’un aux Pays-Bas ou au Nigeria[1] pouvait utiliser les meilleurs services technologiques du monde, et les gens pouvaient interagir relativement librement au-delà des frontières.
Mais cela touche maintenant à sa fin. Il devient difficile de maintenir Internet comme un réseau global, car chaque fief veut sa part et son mot à dire.
C’était bien tant que ça a duré.
[1]: https://www.reuters.com/technology/nigerias-consumer-watchdo...
Si une entreprise se comporte honorablement, elle n’a rien à craindre et peut faire des affaires facilement dans le monde entier.
Les problèmes commencent quand elle fait des choses douteuses qui auraient dû être illégales dès le départ.
Le fond du problème, c’est que le droit américain est le plus laxiste et permet des atteintes massives à la vie privée des citoyens, si bien que les entreprises ont maintenant l’impression d’être restreintes inutilement.
Si le droit américain était plus strict, ce ne serait pas un problème et personne n’en parlerait.
Se concentrer uniquement sur la liberté des entreprises de faire ce qu’elles veulent est extrêmement myope et centré sur les États-Unis. Qu’en est-il de la liberté des utilisateurs de vivre sans être surveillés ?
Les effets de réseau sont si puissants que l’argument de libre marché du type « si ça ne vous plaît pas, allez ailleurs » ne tient pas vraiment, et il y a aussi un gros problème de transparence, car il est difficile de savoir de l’extérieur comment les données sont traitées.
D’autant plus que toutes les entreprises traitent les données comme leur propriété et comme une vache à lait.
Et c’est ça que vous appelez « les fiefs veulent leur part et leur mot à dire » ? Vous êtes contre le principe même de la loi ?
C’est probablement le genre de chose qu’un ignorant à la fin de l’Empire britannique aurait pu dire.
Ou si les entreprises qui participaient à ce réseau avaient trouvé un intérêt à l’enfermer derrière des murs ?[2][3]
Ou si ce réseau mondial avait été tellement remodelé par quelques acteurs dominants qu’une régulation extérieure était devenue nécessaire ?[4][5]
Mais bien sûr que non. Ce ne peut pas être une réaction aux abus massifs de l’industrie, seulement des seigneurs locaux qui essaient de grappiller un peu de pouvoir.
[1]: https://en.wikipedia.org/wiki/PRISM
[2]: https://www.eff.org/fr/deeplinks/2013/05/google-abandons-ope...
[3]: https://blockthrough.com/blog/the-walled-gardens-of-the-ad-t...
[4]: https://www.theverge.com/c/23998379/google-search-seo-algori...
[5]: https://en.wikipedia.org/wiki/Facebook%E2%80%93Cambridge_Ana...
Qu’est-ce que la liberté ? La GPL, la BSD, le fait de donner des coups de poing, ou celui de ne pas se faire frapper au nez ?
Si la procédure d’appel prend environ 4 ans et que l’amende est suspendue jusqu’à l’épuisement de tous les recours, on entendra probablement reparler de cette affaire dans 4 ans.
Uber va traiter cela comme « le coût de faire des affaires » en Europe et l’ajouter aux prix sous forme de markup.
Le total des amendes infligées par l’UE aux entreprises technologiques américaines ces dernières années atteint 14,8 milliards de dollars : https://loeber.substack.com/p/20-no-more-eu-fines-for-big-te...
Cette newsletter Substack est assez bonne et montre clairement que, même si les entreprises technologiques américaines ne quitteront probablement pas l’Europe de sitôt, elles détiennent malgré tout beaucoup plus de pouvoir dans cette relation.
Les régulateurs jouent trop agressivement leurs cartes.
Même si les Big Tech américaines se retiraient d’Europe, cela pourrait être une bonne chose pour les marchés locaux, sauf à très court terme.
Il est très difficile de rivaliser avec elles, et c’est pareil sur leur propre marché intérieur aux États-Unis.
Si elles disparaissaient d’un marché aussi vaste que l’UE, cela pourrait fortement stimuler la concurrence.
Même en supposant que l’UE soit totalement dépourvue de capacités, ce qui est très irréaliste vu que les meilleurs modèles actuels de génération d’images et des LLM open source tout à fait corrects viennent de l’UE.
En plus, plusieurs pays européens, surtout en Europe de l’Est, disposent d’excellents talents techniques, et les entreprises chinoises se précipiteraient immédiatement.
Donc, du point de vue européen, cela reste un très mauvais marché.