UBER : l’autorité néerlandaise de protection des données prononce une amende de 10 millions d’euros
Le 11 décembre 2023, en coopération avec la CNIL, l’autorité néerlandaise de protection des données a prononcé à l’encontre des sociétés Uber B.V. et Uber Technologies Inc. une amende de dix millions d’euros pour plusieurs manquements à l’information des chauffeurs.
Uber est une entreprise qui édite notamment une plateforme mettant en relation des Voitures de Transport avec Chauffeur (VTC) et des utilisateurs.
La CNIL a reçu une plainte collective de l’association La Ligue des droits de l’Homme, représentant plus de 170 chauffeurs de la plateforme Uber, concernant les difficultés rencontrées dans l’exercice de leurs droits.
Une coopération avec la CNIL tout au long de la procédure
En application des procédures de coopération entre autorités instaurées par le règlement général sur la protection des données (RGPD), c’est l’autorité néerlandaise de protection des données qui était compétente pour mener les investigations sur ce dossier, Uber ayant son établissement principal aux Pays-Bas.
La CNIL a étroitement coopéré avec son homologue tout au long de la procédure, dans le cadre des contrôles et de l’analyse des preuves obtenues, puis lors de l’examen du projet de décision dans le cadre de la procédure du guichet unique.
Les manquements retenus
À l’issue des investigations menées, l’autorité néerlandaise de protection des données a retenu que les sociétés Uber B.V. et Uber Technologies (responsables conjointes) ont manqué à leurs obligations :
- en ne fournissant pas les données sollicitées dans le cadre du droit d’accès dans un format accessible et en fournissant aux chauffeurs des informations relatives aux traitements dont ils sont l’objet en anglais ;
- en ne rendant pas suffisamment accessible le formulaire en ligne d’exercice des droits au sein de l’application utilisée par les chauffeurs ;
- en fournissant une information incomplète au sein de leur déclaration de confidentialité concernant les transferts de données en dehors de l’Union européenne, ainsi qu’une information trop générale concernant les durées de conservation des données ;
- en ne mentionnant pas de manière explicite le droit à la portabilité des données dans leur déclaration de confidentialité.
La CNIL a informé les plaignants de cette décision conformément à ce que prévoit le RGPD.
Cette décision de sanction permet de réaffirmer l’importance de l’obligation de transparence des informations et de la nécessité de veiller à garantir l’exercice des droits des personnes concernées.
Pour approfondir
- [EN] UBER: Dutch data protection authority imposes €10 million fine
- Conformité RGPD : comment informer les personnes et assurer la transparence ?
- Respecter les droits des personnes
- La coopération avec les autorités de contrôle européennes
- La décision de l'autorité néerlandaise (décision complète téléchargeable - en néerlandais)
- La décision de l'autorité néerlandaise (en anglais)