Le 26 août dernier, plusieurs autorités de régulation, dont la CNIL, ont annoncé qu’une amende de 290 millions d’euros était infligée aux sociétés Uber B.V. et Uber Technologies Inc. par l’autorité de contrôle néerlandaise. Cette dernière reproche à Uber d’avoir transféré des données personnelles de ses chauffeurs en dehors de l’Union européenne (UE), sans protection suffisante. Une sanction qui sera l’occasion de revenir sur une organisation des transferts en dehors de l’Union européenne qui soit respectueuse des données personnelles.

Uber avait déjà été condamnée en 2023 à une amende de 10 millions d’euros par la même autorité et pour plusieurs manquements, notamment s’agissant du droit à l’information et d’accès de ses chauffeurs.

Aussi, une plainte collective de l’association Ligue des droits de l’Homme, représentant plus de 170 chauffeurs de la plateforme, avait été adressée à la CNIL.

C’est en suivant de cette plainte que la société Uber, soit Uber B.V. à Amsterdam et Uber Technologies Inc. à San Francisco, a fait l’objet d’une enquête de la part de l’autorité néerlandaise, en coopération avec la CNIL. Or, cette enquête a révélé qu’Uber a transféré pendant plus de deux ans des données personnelles de ses chauffeurs européens vers son siège aux États-Unis, sans utiliser les mécanismes de transfert appropriés. Parmi ces données figuraient les détails des comptes et permis des chauffeurs, des données de localisation, des photos, des informations de paiement, des documents d’identité, ainsi que, dans certains cas, des données de santé et des données relatives aux casiers judiciaires.

Les modalités de transferts de données personnelles en dehors de la zone européenne

Le chapitre V du Règlement général sur la protection des données (« RGPD »), en vigueur depuis le 25 mai 2018, impose des conditions strictes dans lesquelles les transferts de données en dehors de l’UE et de l’EEE peuvent être effectués par le responsable du traitement ou le sous-traitant. Ces derniers doivent garantir que l’entité exportatrice assure un niveau de protection des données qui soit suffisant et approprié, et que le pays destinataire offre un niveau de protection jugé adéquat par l’UE, tel que prévu par l’article 45 du RGPD.

En l’absence de décision d’adéquation, le transfert vers un pays tiers ou à une organisation internationale n’est possible que si le responsable de traitement ou le sous-traitant a prévu des garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de recours effectives.

Ainsi, plusieurs possibilités s’offrent au responsable de traitement ou sous-traitant pour transférer des données en dehors de la zone européenne conformément aux exigences du RGPD :

• Le recours aux « Binding Corporate Rules » (BCR)  ou règles d’entreprise contraignantes, pour les francophiles : les transferts de données au sein d’un même groupe, qu’ils se produisent entre une société mère et ses filiales ou entre différentes filiales, peuvent être régis par des BCR. Ces règles internes au groupe visent à garantir la protection des données et à assurer les droits des personnes concernées. Le responsable du traitement ou le sous-traitant, établi dans un État membre, est responsable de toute violation des BCR commise par une entité du groupe située en dehors de l’Union. Ces clauses doivent également être approuvées par la CNIL (ou l’autorité nationale de contrôle compétente) en application de l’article 63 du RGPD.
• L’utilisation de clauses contractuelles types qui peuvent être adoptées par la Commission européenne ou par une autorité de contrôle, sous réserve d’approbation par la Commission : ces clauses standardisées sont conçues pour garantir un haut niveau de protection des données personnelles. L’entité exportatrice de données doit établir avec l’entité importatrice un contrat comprenant ces clauses.

• Le transfert de données à une entité certifiée: le responsable de traitement ou un sous-traitant peut transférer des données à une entité certifiée par un organisme de certification habilité, disposant d’une expertise appropriée en matière de protection des données. Cet organisme peut délivrer et renouveler les certifications, après en avoir informé l’autorité de contrôle. En général, le contrat entre l’entité exportatrice de données et l’entité certifiée, importatrice de données dans une zone non soumise au RGPD, doit inclure des mécanismes de garanties pour prévenir toute violation de données. Il doit également préciser que l’entité certifiée s’engage à respecter les règles établies par la certification et à informer l’exportateur de toute modification pertinente à cet égard.

• L’adhésion à un code de conduite: le responsable de traitement ou le sous-traitant dans le pays tiers doit prendre l’engagement contraignant et exécutoire d’appliquer des garanties appropriées, y compris en ce qui concerne les droits des personnes concernées. Pour permettre un transfert de données en dehors du territoire européen, ces codes doivent être approuvés par la CNIL ou par un organisme accrédité par l’autorité de contrôle compétente.

Le cas des transferts de données personnelles vers les Etats-Unis

Le 2 février 2016, le « Privacy Shield », ou « bouclier de protection des données », était conclu. Il était destiné à maintenir les accords commerciaux avec les Etats-Unis et avait été reconnu par la Commission européenne comme offrant un niveau de protection adéquat aux données personnelles transférées depuis une entité européenne vers des sociétés établies aux États-Unis. Le dispositif de transfert ainsi établi reposait sur un système d’auto-certification des sociétés américaines qui collectaient des données à des fins commerciales.

Or, le 16 juillet 2020, la  Cour de justice de l’Union européenne (CJUE) annulait le « Privacy Shield » dans son arrêt « Schrems II ». Elle considérait que ce cadre  ne constituait plus une garantie juridique suffisante pour transmettre des données personnelles de l’Union européenne vers les États-Unis. L’accès aux données par les services de renseignement américains, révélé par lanceur d’alerte Edward Snowden, étant considéré largement disproportionné et insuffisamment encadré. La CJUE rappelait néanmoins que cette invalidation ne créait pas de vide juridique dans la mesure où d’autres mécanismes, à l’instar des clauses contractuelles types, abordées plus haut, encadrent le transfert international de données respectueux de le protection des données personnelles.

Il a fallu attendre le 10 juillet 2023 pour que la Commission adopte une autre décision d’adéquation, estimant que les réformes apportées par la législation américaine garantissent désormais un niveau de protection adéquat des données personnelle, et autorisant de nouveau les transferts de données depuis l’UE vers les Etats-Unis, sous certaines conditions. Notamment, les transferts de données peuvent être effectués vers des organismes certifiés, lesquels apparaissent sur une liste mise à disposition par le Département du commerce américain.

Or, pour en revenir à notre affaire, c’est pendant cette période (entre 2020 et 2023) qu’Uber a transféré des données depuis les Pays-Bas vers son siège américain sans prendre pleinement en compte les conséquences de l’arrêt « Schrems II » et sans utiliser les outils nécessaires. Uber n’utilisait plus de clauses contractuelles types depuis 2021. Partant, les données collectées puis transmises n’étaient pas suffisamment protégées. C’est pourquoi l’autorité néerlandaise lui a imposé une telle amende. Uber a annoncé faire appel de cette décision.

Aujourd’hui, une décision d’adéquation est venue remplacer le Privacy Shield, qui permet donc d’effectuer librement des transferts entre l’Union Européenne et les Etats-Unis, sans encadrement spécifique. Pour autant, rien ne permet de s’assurer de sa pérennité. En effet, cette décision d’adéquation est dans le viseur de NOYB, l’ONG de lutte pour la protection de la vie privée fondée par Maximilian Schrems (déjà à l’œuvre dans la chûte du Privacy Shield), qui compte remettre en question cet accord dans le cadre d’un recours devant la CJUE.

A retenir donc : Les règles encadrant la protection des données, incluant leur transfert, évoluent à un rythme soutenu. Les contrôles et enquêtes des autorités européennes compétentes, qui n’hésitent pas à coopérer entre elles, s’accentuent. Les entreprises insuffisamment averties s’exposent alors à des risques de sanctions très élevées, à l’instar d’Uber qui en a fait une nouvelle fois les frais. Pour rappel, le RGPD prévoit des amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial, le montant le plus élevé étant retenu. Il convient donc de veiller scrupuleusement à sa conformité au RGPD. Pour toute question, n’hésitez pas à prendre l’attache de notre cabinet.