1 points par GN⁺ 2024-08-27 | 1 commentaires | Partager sur WhatsApp
  • L’autorité néerlandaise de protection des données (DPA) estime qu’Uber a commis une violation grave du RGPD en transférant les données personnelles de chauffeurs de taxi européens vers les États-Unis sans mettre en place les garanties nécessaires
  • Les informations transférées comprenaient des données de compte et des licences de taxi, des données de localisation, des photos, des informations de paiement, des pièces d’identité, ainsi que, pour certains chauffeurs, des données pénales et médicales
  • Uber a envoyé ces données à son siège américain pendant plus de deux ans et, depuis août 2021, n’utilisait plus les Standard Contractual Clauses, ce qui a conduit à juger que la protection des données des chauffeurs de l’UE n’était pas suffisante
  • L’enquête a débuté à la suite de plaintes déposées par plus de 170 chauffeurs français ; le siège européen d’Uber étant situé aux Pays-Bas, la DPA néerlandaise s’est coordonnée avec la DPA française et d’autres DPA européennes
  • Uber a mis fin à l’infraction et utilise depuis la fin de l’an dernier le cadre successeur du Privacy Shield, mais a fait part de son intention de contester l’amende de 290 millions d’euros

La décision de violation du RGPD visant Uber

  • La DPA néerlandaise estime qu’Uber n’a pas garanti le niveau de protection exigé par le RGPD lors du transfert vers les États-Unis des données personnelles de chauffeurs de taxi européens
  • Les données concernées étaient stockées sur des serveurs américains, et leur périmètre ne se limitait pas aux informations de compte ordinaires
    • Informations de compte et licences de taxi
    • Données de localisation, photos, informations de paiement, pièces d’identité
    • Données pénales et données médicales de certains chauffeurs
  • Aleid Wolfsen, président de la DPA néerlandaise, a déclaré qu’en dehors de l’Europe, la protection des données personnelles n’allait pas de soi, et que les entreprises qui stockent les données personnelles d’Européens hors de l’UE doivent généralement prendre des mesures supplémentaires
  • Uber a désormais mis fin à l’infraction liée aux transferts vers les États-Unis

Règles de transfert international de données et déroulement de l’enquête

  • Pendant plus de deux ans, Uber a transféré les données de chauffeurs vers son siège américain sans utiliser de transfer tools, ce qui a conduit à juger que la protection des données personnelles n’était pas suffisante
  • La Cour de justice de l’UE a invalidé en 2020 l’EU-US Privacy Shield
    • Les Standard Contractual Clauses peuvent servir de base au transfert de données vers des pays hors UE
    • Mais elles doivent pouvoir garantir en pratique un niveau de protection équivalent
  • À partir d’août 2021, Uber n’a plus utilisé les Standard Contractual Clauses, et utilise depuis la fin de l’an dernier le cadre successeur du Privacy Shield
  • L’enquête a commencé après que plus de 170 chauffeurs français ont déposé plainte auprès de l’organisation française de défense des droits humains Ligue des droits de l’Homme (LDH), puis que la LDH a saisi la DPA française
  • Selon le principe de guichet unique (one-stop-shop) du RGPD, une entreprise qui traite des données dans plusieurs États membres de l’UE relève de la DPA du pays où se trouve son établissement principal
    • Le siège européen d’Uber se trouve aux Pays-Bas
    • La DPA néerlandaise a coopéré étroitement avec la DPA française et coordonné sa décision avec d’autres DPA européennes

Montant de l’amende et précédentes sanctions d’Uber

  • Les amendes infligées aux entreprises par les DPA européennes sont calculées selon la même méthode, avec un plafond fixé à 4 % du chiffre d’affaires annuel mondial de l’entreprise
    • Le chiffre d’affaires mondial d’Uber en 2023 était d’environ 34,5 milliards d’euros
    • Uber a indiqué son intention de contester cette amende de 290 millions d’euros
  • Il s’agit de la troisième amende infligée à Uber par la DPA néerlandaise

1 commentaires

 
GN⁺ 2024-08-27
Commentaires sur Hacker News
  • Ce qui est intéressant, c’est que, au moins dans le secteur bancaire, les données américaines sont presque toujours gérées par des personnes situées hors des États-Unis
    Les serveurs peuvent être aux États-Unis, mais les personnes qui y accèdent sont probablement en Europe ou en Inde
    Pendant l’accès, les données existent temporairement de ce côté-là, donc les États-Unis ont eux aussi besoin de lois plus strictes sur ce point

    • Je ne comprends pas vraiment pourquoi l’emplacement physique où les données sont stockées est si important
      J’aimais l’époque où Internet donnait l’impression d’être un réseau mondial d’ordinateurs où les frontières comptaient peu, donc il m’est un peu étrange d’accepter comme une évidence l’idée que les frontières finissent aussi par compter sur Internet
      L’explication de 0x62 m’a aidé : https://news.ycombinator.com/item?id=41357888
      Je n’avais pas pensé à cette structure où les fournisseurs s’imbriquent récursivement
    • Les données stockées sur des serveurs comme ceux d’Apple ou de Google peuvent, si nécessaire, être consultées par les autorités américaines sans consentement
      Même si l’on est totalement innocent
    • Le fait que des Européens accèdent à des données américaines de citoyens américains ou les traitent n’est peut-être pas un problème
      À ma connaissance, le RGPD ne couvre pas ces données, donc les faire passer de l’autre côté d’une frontière n’est pas forcément interdit
      Le problème, ce sont les données protégées par le RGPD de citoyens de l’UE : sauf exceptions spécifiques, comme l’application de la loi, elles ne peuvent pas franchir une frontière hors UE
    • Je ne suis pas juriste, mais il me semble que le RGPD prévoit une exception pour l’accès à distance
      Si un employé en Inde consulte des données stockées aux États-Unis, il est clair que les données arrivent en Inde au moment où elles s’affichent à l’écran, mais formellement cela peut ne pas être considéré comme un transfert des États-Unis vers l’Inde
    • Le transfert de données au sens du RGPD n’est pas directement lié à la localisation géographique
      Ce qui compte, c’est la juridiction légale dont relève le responsable du traitement ou le sous-traitant ; si les données sont déplacées vers un sous-traitant relevant d’une autre juridiction, il y a transfert
  • Dans un autre article (https://nos.nl/l/2534629, en néerlandais), Uber affirme avoir discuté avec l’Autoriteit Persoonsgegevens de « lois peu claires »
    D’après la traduction iOS, un porte-parole d’Uber explique que l’entreprise a contacté directement l’AP en raison de l’ambiguïté des règles relatives à la vie privée, et que le régulateur ne lui a pas dit à l’époque qu’elle enfreignait ces règles
    Mais si une entreprise riche, dotée d’une équipe juridique bien structurée, n’est pas certaine que quelque chose soit autorisé, cela ne se transforme pas pour autant en droit de le faire
    Et l’amende doit être de cette ampleur. Elle ne doit pas devenir un simple coût d’exploitation ; respecter la ligne rouge doit être dans l’intérêt de tout le monde, des actionnaires jusqu’au bas de l’échelle

  • Quand on lit que « depuis la fin de l’année dernière, Uber utilise le dispositif qui succède au Privacy Shield », on a l’impression qu’elle risque encore d’être jugée en tort plus tard, vu la manière dont ces dispositifs se sont continuellement effondrés
    La Commission européenne ne gère pas bien ce sujet

    • La CE a rendu une « décision d’adéquation » sur le nouveau EU–US Data Privacy Framework : https://commission.europa.eu/document/fa09cbad-dd7d-4684-ae6...
      Et elle a aussi lancé la « certification » de conformité à ce cadre : https://www.dataprivacyframework.gov/list
      Les différentes autorités de protection des données peuvent donc, pour ce nouveau cadre, suivre l’interprétation de la CE sur l’adéquation au regard du RGPD
      Cela dit, Schrems a déjà annoncé qu’il contesterait ce cadre, donc l’incertitude reste forte
      Le seul choix « sûr », sans incertitude, semble être de concevoir tous les systèmes de sorte que les données ne transitent pas par les États-Unis et ne soient pas non plus hébergées par des filiales dépendant d’une maison mère située aux États-Unis
  • C’est un peu amusant qu’Uber ait été sanctionnée aux Pays-Bas. Sur place, les taxis traditionnels sont tellement protégés qu’on voit à peine Uber
    Je n’ai pas les chiffres exacts, mais si cela représente au moins 15 euros par habitant, c’est une très grosse amende, et rapporté à chaque chauffeur, cela pourrait faire environ 25 000 euros
    On a l’impression que le régulateur néerlandais dit : « Vous ne pourriez pas simplement partir ? » et Uber doit probablement le ressentir ainsi

    • Le siège d’Uber Europe est aux Pays-Bas, c’est pourquoi l’amende a été prononcée là-bas
      Une plainte déposée auprès de l’autorité française de protection des données a été transmise au côté néerlandais
    • Je ne sais pas si l’auteur est néerlandais, mais c’est expliqué plus en détail ici : https://tweakers.net/nieuws/225768/uber-krijgt-van-ap-avg-bo...
      L’amende a été émise par le régulateur néerlandais, mais l’enquête a commencé en France, où 21 chauffeurs Uber français ont saisi en juin 2020 l’organisation de défense des droits humains Ligue Des Droits De L'homme Et Du Citoyen
      Ensuite, 151 chauffeurs Uber supplémentaires se sont joints à la plainte, et la LDH l’a portée devant le régulateur français de la protection des données, la CNIL, qui l’a ensuite transmise en janvier 2021 à l’autorité néerlandaise de protection des données au motif que le siège européen d’Uber se trouvait aux Pays-Bas
    • Le siège d’Uber est aux Pays-Bas
      Parce qu’elle aime le régime fiscal local
    • L’amende est suspendue jusqu’à la fin de l’appel
      Selon la DPA, la procédure d’appel devrait durer environ 4 ans, donc ce sera en pratique un appel de 4 ans
    • Cette amende n’est pas une indemnisation, c’est une sanction
      Toutes les autorités européennes de protection des données calculent les amendes infligées aux entreprises de la même manière, et elles peuvent aller jusqu’à 4 % du chiffre d’affaires annuel mondial de l’entreprise
  • L’enquête de la DPA néerlandaise sur Uber a commencé après que plus de 170 chauffeurs français ont déposé une plainte auprès de l’organisation française de défense des droits humains LDH, qui l’a ensuite transmise à la DPA française
    Je me demande sur quelle base les chauffeurs ont commencé à avoir des soupçons.

    • Ils ont peut-être simplement fait une déduction de bon sens, ou bien l’application se connectait directement à des serveurs américains.
    • Cela a aussi pu être une simple négligence de la part d’Uber
      Pour ma part, j’ai eu un lien avec une organisation américaine il y a longtemps, puis je l’ai complètement oubliée.
      Près de 15 ans plus tard, j’ai commencé à recevoir du spam par e-mail depuis une adresse du siège de Washington, et malgré ma demande d’arrêt, cela n’a pas cessé.
      Quand j’ai engagé une démarche juridique au titre du RGPD et demandé la suppression, ils ont répondu qu’ils s’y conformaient, mais un an plus tard, du spam est de nouveau arrivé depuis la même adresse.
      J’ai donc compris qu’ils n’avaient pas supprimé mes informations et qu’ils les conservaient aux États-Unis.
  • Je me demande comment cette affaire est liée au EU–US Data Privacy Framework
    Je pensais que ce cadre était le remplaçant de l’EU–US Privacy Shield et qu’il visait à autoriser ce type de transferts ; avant 2020, à l’époque du Privacy Shield, cela ne semblait donc pas poser problème.
    Est-ce que j’ai mal compris ?

    • Cet article de la DPA néerlandaise[1] donne des détails
      Le Privacy Shield a été invalidé en 2020, et il ne restait plus que les clauses contractuelles types comme mécanisme de transfert valable.
      Uber a cessé d’utiliser les clauses contractuelles types en août 2021, avant l’introduction du nouveau cadre de protection de la vie privée en 2023, et a transféré pendant deux ans des informations très sensibles sans mécanisme valide.
      [1]: https://www.autoriteitpersoonsgegevens.nl/en/current/dutch-d...
    • Cette compréhension est erronée
      En substance, le Framework est, comme l’ancien Shield, une tentative de la Commission pour dire : « regardez, on a corrigé ça ».
      Malheureusement, les deux fois précédentes, la CJUE a estimé a posteriori que l’insuffisance du droit américain en matière de protection des données ne pouvait pas être corrigée par un quelconque cadre, et que le Shield non plus, comme son prédécesseur, n’autorisait pas réellement les pouvoirs qu’il prétendait encadrer.
      Ce Framework n’a pas encore été examiné par la CJUE, mais comme le droit américain n’a pas vraiment changé, l’issue semble assez prévisible.
  • Nous avons eu de la chance de vivre cette brève période où Internet était vraiment un réseau mondial.
    Quelqu’un aux Pays-Bas ou au Nigeria[1] pouvait utiliser les meilleurs services technologiques du monde, et les gens pouvaient interagir relativement librement au-delà des frontières.
    Mais cela touche maintenant à sa fin. Il devient difficile de maintenir Internet comme un réseau global, car chaque fief veut sa part et son mot à dire.
    C’était bien tant que ça a duré.
    [1]: https://www.reuters.com/technology/nigerias-consumer-watchdo...

    • Ces lois existent pour de bonnes raisons, et les entreprises technologiques américaines piétinent allègrement les droits à la vie privée des gens depuis longtemps.
      Si une entreprise se comporte honorablement, elle n’a rien à craindre et peut faire des affaires facilement dans le monde entier.
      Les problèmes commencent quand elle fait des choses douteuses qui auraient dû être illégales dès le départ.
      Le fond du problème, c’est que le droit américain est le plus laxiste et permet des atteintes massives à la vie privée des citoyens, si bien que les entreprises ont maintenant l’impression d’être restreintes inutilement.
      Si le droit américain était plus strict, ce ne serait pas un problème et personne n’en parlerait.
      Se concentrer uniquement sur la liberté des entreprises de faire ce qu’elles veulent est extrêmement myope et centré sur les États-Unis. Qu’en est-il de la liberté des utilisateurs de vivre sans être surveillés ?
      Les effets de réseau sont si puissants que l’argument de libre marché du type « si ça ne vous plaît pas, allez ailleurs » ne tient pas vraiment, et il y a aussi un gros problème de transparence, car il est difficile de savoir de l’extérieur comment les données sont traitées.
      D’autant plus que toutes les entreprises traitent les données comme leur propriété et comme une vache à lait.
    • Les produits physiques doivent respecter les lois locales lorsqu’ils sont exportés vers d’autres pays, alors je ne vois pas pourquoi les services en ligne devraient être une exception.
      Et c’est ça que vous appelez « les fiefs veulent leur part et leur mot à dire » ? Vous êtes contre le principe même de la loi ?
    • « Nous avons eu la chance de vivre cette brève période où le monde était un véritable réseau commercial mondial. Un Britannique pouvait accéder aux meilleures voitures du monde, et les gens pouvaient échanger relativement librement au-delà des frontières. Mais cela touche maintenant à sa fin. Il devient difficile de maintenir le monde comme un réseau global, car chaque fief veut sa part et son mot à dire. C’était bien tant que ça a duré. »
      C’est probablement le genre de chose qu’un ignorant à la fin de l’Empire britannique aurait pu dire.
    • Et si le centre de ce « réseau mondial » l’avait transformé en outil d’influence et de surveillance ?[1]
      Ou si les entreprises qui participaient à ce réseau avaient trouvé un intérêt à l’enfermer derrière des murs ?[2][3]
      Ou si ce réseau mondial avait été tellement remodelé par quelques acteurs dominants qu’une régulation extérieure était devenue nécessaire ?[4][5]
      Mais bien sûr que non. Ce ne peut pas être une réaction aux abus massifs de l’industrie, seulement des seigneurs locaux qui essaient de grappiller un peu de pouvoir.
      [1]: https://en.wikipedia.org/wiki/PRISM
      [2]: https://www.eff.org/fr/deeplinks/2013/05/google-abandons-ope...
      [3]: https://blockthrough.com/blog/the-walled-gardens-of-the-ad-t...
      [4]: https://www.theverge.com/c/23998379/google-search-seo-algori...
      [5]: https://en.wikipedia.org/wiki/Facebook%E2%80%93Cambridge_Ana...
    • Le droit d’Uber de faire ce qu’il veut s’arrête là où commence mon droit de contrôler les informations qui me concernent.
      Qu’est-ce que la liberté ? La GPL, la BSD, le fait de donner des coups de poing, ou celui de ne pas se faire frapper au nez ?
  • Si la procédure d’appel prend environ 4 ans et que l’amende est suspendue jusqu’à l’épuisement de tous les recours, on entendra probablement reparler de cette affaire dans 4 ans.

  • Uber va traiter cela comme « le coût de faire des affaires » en Europe et l’ajouter aux prix sous forme de markup.

  • Le total des amendes infligées par l’UE aux entreprises technologiques américaines ces dernières années atteint 14,8 milliards de dollars : https://loeber.substack.com/p/20-no-more-eu-fines-for-big-te...
    Cette newsletter Substack est assez bonne et montre clairement que, même si les entreprises technologiques américaines ne quitteront probablement pas l’Europe de sitôt, elles détiennent malgré tout beaucoup plus de pouvoir dans cette relation.
    Les régulateurs jouent trop agressivement leurs cartes.

    • Je ne vois pas très bien en quoi ils joueraient trop agressivement leurs cartes.
      Même si les Big Tech américaines se retiraient d’Europe, cela pourrait être une bonne chose pour les marchés locaux, sauf à très court terme.
      Il est très difficile de rivaliser avec elles, et c’est pareil sur leur propre marché intérieur aux États-Unis.
      Si elles disparaissaient d’un marché aussi vaste que l’UE, cela pourrait fortement stimuler la concurrence.
    • Et alors, que se passerait-il ? Un vide se créerait que personne ne pourrait combler ?
      Même en supposant que l’UE soit totalement dépourvue de capacités, ce qui est très irréaliste vu que les meilleurs modèles actuels de génération d’images et des LLM open source tout à fait corrects viennent de l’UE.
      En plus, plusieurs pays européens, surtout en Europe de l’Est, disposent d’excellents talents techniques, et les entreprises chinoises se précipiteraient immédiatement.
    • Le contre-argument à cet article est simple : les Big Tech américaines peuvent éviter totalement ces amendes en respectant le droit de l’UE.
    • Au contraire, cela semble surtout signifier qu’elles gagnent tellement d’argent sur les clients européens qu’elles peuvent se permettre de payer ce genre d’amendes.
      Donc, du point de vue européen, cela reste un très mauvais marché.