Blog Données personnelles
Les sociétés Uber B. V. et Uber Technologies Inc. sanctionnées par l’autorité néerlandaise de protection des données
Après avoir reçu une plainte collective de la part de la Ligue des droits de l’Homme, représentant plus de cent soixante-dix (170) chauffeurs de la plateforme Uber, la CNIL a transmis le dossier à l’autorité néerlandaise de protection des données, qui était compétente en raison de la présence de l’établissement principal d’Uber aux Pays-Bas. Après une procédure de coopération entre les deux autorités de protection des données française et néerlandaise, cette dernière rend une décision, le 31 janvier 2024, dans laquelle elle sanctionne les sociétés Uber B. V. et Uber Technologies au paiement d’une amende d’un montant de dix (10) millions d’euros.
L’autorité néerlandaise de protection des données reproche aux deux sociétés d’avoir manqué à plusieurs de leurs obligations découlant du règlement général sur la protection des données de 2016 (ci-après « RGPD »). En effet, lors des contrôles menés par les autorités françaises et néerlandaises, il a été découvert que plusieurs droits des chauffeurs n’étaient pas respectés.
Tout d’abord, ces derniers, lorsqu’ils exerçaient leur droit d’accès, prévu à l’article 15 du RGPD, n’obtenaient pas les données sollicitées dans un format accessible et ne pouvaient obtenir les informations relatives aux traitements dont ils sont l’objet qu’en anglais. L’autorité néerlandaise affirme que l’interprétation des données, compte tenu d’une présentation désordonnée des données demandées, ne permettait pas aux chauffeurs d’interpréter facilement ces dernières.
En outre, il a aussi été reproché à ces sociétés de ne pas rendre suffisamment accessible le formulaire en ligne qui permettait aux chauffeurs de la plateforme Uber l’exercice de leurs droits. L’autorité néerlandaise affirme que le formulaire était situé assez profondément au sein de l’application destinée aux chauffeurs de la plateforme Uber, lesquels ne pouvaient y accéder qu’après être passés par plusieurs menus, et l’autorité affirme que l’emplacement de ce formulaire au sein de l‘application aurait pu être plus logique.
De plus, l’autorité néerlandaise a relevé que les informations fournies au sein de la déclaration de confidentialité à propos des transferts de données hors de l’Union européenne qui pouvaient avoir lieu étaient incomplètes, les mesures de sécurité prises lors de ces transferts n’étant pas précisées. Par ailleurs, l’autorité néerlandaise remarque l’absence de précision quant aux durées de conservation des données personnelles des chauffeurs de la plateforme Uber. Cela contrevient directement à l’obligation d’information des personnes concernées par le traitement de leurs données, telle que consacrée au sein de l’article 13 du RGPD.
Enfin, l’autorité néerlandaise reproche aux sociétés Uber de ne pas avoir mentionné de manière explicite le droit à la portabilité des données au sein de la déclaration de confidentialité. Ce droit est pourtant garanti au titre du RGPD dans son article 20, et au titre de l’article 12 du RGPD, les personnes concernées doivent être informées des modalités d’exercice de leurs droits.
Au vu de l’ensemble de ces éléments, l’autorité néerlandaise de protection des données sanctionne les sociétés Uber B. V. et Uber Technologies, en raison d’une responsabilité conjointe, au paiement d’une amende d’un montant de 10 millions d’euros.
Comme l’affirme la CNIL, cette décision « permet de réaffirmer l’importance de l’obligation de transparence des informations et de la nécessité de veiller à garantir l’exercice des droits des personnes concernées. », respectivement consacrées au sein des articles 12 et 13 du RGPD.
Jeanne BOSSI MALAFOSSE, associée, et Florian BUSSINET, stagiaire