Eya Rziga
L’autorité néerlandaise de protection des données (DPA) a infligé une amende de 290 millions d’euros (324 millions de dollars) à Uber Technologies dans une décision historique pour avoir transmis illégalement les données personnelles de chauffeurs européens aux États-Unis.
Cette sanction, l’une des plus importantes jamais infligées en vertu du règlement général sur la protection des données (RGPD) de l’Union européenne, met en évidence les défis permanents auxquels les entreprises en ligne sont confrontées pour se conformer aux lois strictes sur la confidentialité des données.
Le litige juridique impliquant Uber a débuté en 2021 lorsque plus de 170 chauffeurs français ont déposé des plaintes auprès de la Ligue des droits de l’Homme (LDH), une organisation de défense des droits de l’Homme.
L’affaire a d’abord été portée à l’attention de l’agence française de protection de la vie privée parce que le siège principal d’Uber dans l’Union européenne est situé aux Pays-Bas, ce qui a conduit à la transmission du dossier à l’autorité néerlandaise de protection des données.
Au cours de son enquête, l’autorité néerlandaise de protection des données a découvert qu’Uber avait transmis des données sensibles sur ses chauffeurs européens – y compris des permis de taxi, des détails sur la localisation et des informations médicales – à des serveurs situés aux États-Unis.
Cette action est contraire au GDPR qui stipule que les données concernant les citoyens de l’UE doivent être protégées en toute sécurité lorsqu’elles sont transférées en dehors de l’UE. Le GDPR exige que les entités mettent en œuvre des mesures technologiques et organisationnelles pour protéger les données à caractère personnel. T
outefois, l’autorité de protection des données a conclu qu’Uber n’avait pas fourni les garanties nécessaires, en particulier dans le contexte de la surveillance exercée par les agences de sécurité nationale américaines, qui sont considérées comme un risque pour le droit à la vie privée des citoyens de l’UE.
