LUMIÈRE SUR … les transferts de données et la sanction record d’Uber par l’autorité néerlandaise

Le 29 septembre 2020, à la suite d’une première plainte qui donnera lieu à une première condamnation d’Uber[1], l’association « Ligue de défense des droits de l’homme » (ci-après LDH) représentant 172 chauffeurs Uber dépose une seconde plainte auprès de la CNIL. Cette fois, la LDH met en avant que la position d’Uber sur les transferts de données n’est pas claire à la suite de l’invalidation du «Privacy Shield[2]» et que les clauses contractuelles types nécessitent des mesures supplémentaires pour qu’il soit reconnu un niveau de protection équivalent . Le 11 janvier 2021, la CNIL transfère la plainte à l’AP, Uber ayant son établissement principal localisé aux Pays-Bas et l’AP agissant en tant qu’autorité chef de file en vertu du mécanisme de guichet unique [3]. À la suite de l’instruction, le 22 juillet 2024, l’AP condamne solidairement Uber Technologie Incorporation (société mère ci-après « UTI ») et Uber B. V. ( ci-après « UBV ») filiale et établissement principal domicilié aux Pays-Bas à une somme de 290 millions d’euros pour non-respect de l’article 44 du RGPD relatif aux transferts. Il est précisé que cette décision n’est pas définitive et qu’Uber a déjà interjeté appel.

 

Faits :

 

Uber est le nom de la plateforme électronique (ci-après « Plateforme ») développée par UTI. Le siège social d’UTI est situé à San Francisco aux États-Unis. La plateforme Uber est représentée dans l’Espace économique européen (ci-après « EEE ») par UBV. La Plateforme permet aux passagers de commander des services de transport. Pour accéder à la Plateforme, les chauffeurs Uber de l’EEE doivent signer un contrat avec UBV. S’ensuit une procédure de collecte de données afin de vérifier certaines obligations légales (données de compte, documents d’identité, permis de conduire, données de santé, licences de taxi, etc.). Lors de cette procédure de collecte, les données sont directement versées dans la Plateforme par les chauffeurs, transferts étant réalisés sans intervention directe d’UBV. Selon l’avis de confidentialité d’Uber[4] , UBV et UTI sont responsables conjoints du traitement des données à caractère personnel des chauffeurs Uber sur le territoire de l’EEE. Leurs responsabilités en matière de respect des obligations du règlement général sur la protection des données[5] sont définies au sein d’un accord spécifique[6]. UBV étant responsable de traitement des données personnelles des chauffeurs dans l’EEE et UTI qui administre l’ensemble de la Plateforme qui est hébergée aux États-Unis.  De plus, dans le cadre des traitements effectués au sein de l’UE, la relation avec leurs filiales européennes s’opère via un des accords de sous-traitance (par exemple, pour ce qui concerne Uber France SAS, UBV est identifiée comme responsable de traitement et Uber France SAS comme sous-traitant). UBV mettant à la disposition de ses filiales les données des chauffeurs. Enfin, lors de l’instruction, Uber a déclaré que « Pour les transferts de données des personnes concernées vers des pays tiers, la pratique habituelle d’Uber est (et a été) de mettre en place des clauses contractuelles types (CCT) lorsqu’un pays tiers n’a pas fait l’objet d’une décision d’adéquation afin de garantir un niveau élevé de protection, et de procéder à une évaluation de la « gestion des risques par des tiers » afin d’identifier les risques potentiels et de garantir la protection des données de ses utilisateurs. »[7] Pour autant le 6 aout 2021, à la suite de la mise à jour des CCT par la Commission européenne, Uber a jugé que l’article 3 du RGPD s’appliquant pleinement du fait de l’accord de responsabilité conjointe entre UBV et UTI, a revu son accord de contrôleur conjoint afin de « supprimer les CCT et de clarifier les responsabilités des responsables conjoints ». Par la suite, aucun autre instrument de transfert (BCR ou mécanisme de certification) n’a été mis en œuvre jusqu’au 27 novembre 2023.

Ainsi en l’état des constations deux questions étaient posées à l’autorité néerlandaise, l’application de l’article 3 du RGPD relatif au champ d’application territorial exclue-t-elle l’application du Chapitre V relatif aux transferts ? (I) Dans quelles mesures y a-t-il des transferts satisfaisant aux chapitres V dans le cadre des traitements réalisés par UBV et UTI ? (II)

 

I – Articulation du champ territorial et du Chapitre V relatif aux transferts

 

La question de l’articulation du champ d’application territoriale et des transferts n’est pas nouvelle. Et passe notamment par la définition de la notion de transfert. Qui pour rappel n’a jamais été définie dans le RGPD. L’intervention du Comité européen (ci-après « CEPD ») permet de clarifier la notion de transfert, mais aussi d’appuyer sur l’articulation entre l’article 3 et le chapitre V du RGPD.

L’article 3, paragraphe 2 du RGPD a introduit une possibilité d’application extraterritoriale du règlement à des organismes situés en dehors de l’EEE. En effet, même si un organisme intervient en dehors de l’EEE, mais qu’il effectue des traitements (et ce même s’ils n’ont pas lieu dans l’Union) de données à caractère personnel relatives à des personnes qui se trouvent dans le territoire de l’Union lorsque les activités de traitement sont liées à des offres de biens ou de services ou au suivi d’un comportement qui a lieu au sein de l’UE. L’objectif étant d’éviter que les organisations situées dans des pays tiers échappent à la règlementation et aux droits ménagés pour les personnes concernées.

Cependant, dans le cas, où un organisme est déjà soumis au règlement en vertu de l’article 3, doit-il respecter les obligations relatives aux transferts de données ?

En l’espèce, UTI et UBV ont signé un accord de responsabilité conjointe dans le cadre des traitements réalisés dans le cadre de la mise à disposition de la Plateforme sur l’EEE. Et Uber effectue des traitements de données à caractère personnel relatif aux chauffeurs qui se trouvent dans l’Union. Ces activités sont bien liées à des offres de services fournis au sein de l’UE.  Ainsi, UTI est donc soumis au règlement. Mais, Uber fait valoir lors de l’instruction que lors de la publication des nouvelles CCT par la Commission européenne, le considérant n°7 dispose « le responsable de traitement ou un sous-traitant peut utiliser (…) afin de fournir des garanties appropriées (…). Les clauses contractuelles types ne peuvent être utilisées pour ce type de transferts que dans la mesure où le traitement effectué par l’importateur de données ne relève pas du champ d’application du règlement (UE) 2016/679 (en vertu de son article 3, paragraphe 2), parce qu’il est lié à l’offre de biens ou de services à des personnes concernées dans l’Union ou au suivi du comportement de ces personnes dans la mesure où il s’agit de leur comportement au sein de l’Union. Ainsi, après s’être reposé sur les anciennes CCT, Uber décide d’abandonner la référence à ces dernières le 9 aout 2021, soit un peu moins d’un mois après la publication par la Commission européenne.

Par la suite, le CEPD publie le 18 novembre 2021, des lignes directrices qui vont apporter des éléments complémentaires, notamment en définissant la notion de « transferts ». Il y a transfert lorsqu’il y a trois critères cumulatifs (i) un responsable de traitement ou sous-traitant soumis au RGPD ; (ii) un responsable de traitement ou sous-traitant exportateur qui communique par transmissions ou en rendant autrement accessible les données personnelles à autre responsable de traitement / sous-traitant (iii) que l’importateur est situé dans un pays tiers, peu importe qu’il soit soumis ou non au RGPD.

Ici, c’est le troisième critère qui insiste sur l’articulation entre l’article 3 et le chapitre V du RGPD. En effet, peu importe que l’organisation importatrice située dans un pays tiers soit déjà soumise aux obligations du règlement, elle sera obligatoirement soumise au chapitre V en présence de transferts. En l’espèce, le CEPD a retenu une approche géographique. En effet, lorsque le traitement intervient dans l’Union européenne, il n’est pas couvert uniquement par le RGPD, mais aussi par un ensemble de règles dont le pouvoir de surveillance et de contrôle des institutions et surtout la protection des droits fondamentaux [8]. Or même si une organisation est soumise au règlement, mais qu’elle agit dans un pays tiers, les personnes concernées ne bénéficient pas des mêmes mesures de protection pouvant exposer ces dernières à des risques. Cette situation est observée dans le cadre de l’arrêt Schrems II, l’accès aux données par les autorités publiques américaines dans le cadre du FISA702 et de l’EO12333 a été jugé comme allant au-delà de ce qui est « nécessaire et proportionné dans une société démocratique ». La CJUE affirme qu’il est nécessaire d’être plus protecteur et de compenser ce risque qui pèse sur les droits fondamentaux, en introduisant des obligations complémentaires et notamment un « transfert impact assessment » pour s’assurer de la protection des droits et libertés fondamentales des individus lors d’un transfert dans un pays tiers[9].

Sans surprise, ce principe est réaffirmé par l’AP dans le point 66 de la décision «  la raison d’être du transfert des données en vertu du chapitre V du RGPD est complémentaire de la raison d’être du champ d’application territorial du RGPD tel que défini à l’article 3 : « à savoir empêcher le déni, l’affaiblissement ou le contournement de la protection fournie par le droit de l’UE en ce qui concerne les données » et que toute autre interprétation de ces mécanismes conduirait à un affaiblissement de la norme requise par la CJUE.[10] En conséquence, l’application du chapitre V complète l’article 3 relatif au champ territorial du RGPD. Il sera donc nécessaire de déterminer si les traitements effectués par Uber satisfont à la définition de « transfert » établie par le CEPD.

 

II – Le cadre légal des transferts de données

 

Pour déterminer si le chapitre V est applicable, il faut déterminer s’il y a transferts de données. Une fois ces conditions remplies, il convient de déterminer dans quelles mesures ces transferts peuvent intervenir légalement.

 

 

A – Appréciation des critères relatifs aux transferts de données à caractère personnels

 

Dans le cadre des transferts, le principe est l’interdiction sauf en cas d’existence d’une décision d’adéquation [11], de garanties appropriées[12] ou de règles d’entreprise contraignantes (ou BCR)[13] mises en place avec le destinataire ou sous certaines conditions l’utilisation de certaines dérogations[14] visées par le règlement. Selon le CEPD,[15] il y a trois critères cumulatifs pour qu’une opération de traitement puisse être qualifiée de transfert (i) un responsable du traitement ou un sous-traitant (l’ « exportateur ») est soumis au RGPD pour le traitement en cause ; (ii) l’exportateur communique par transmission ou rend accessible par un autre moyen des données à caractère personnel, qui font l’objet de ce traitement, à un autre responsable du traitement, responsable conjoint du traitement ou sous-traitant (l’ « importateur ») ; (iii) l’importateur se trouve dans un pays tiers – que cet importateur soit ou non soumis au RGPD pour le traitement en cause conformément à l’article 3 -, ou est une organisation internationale ».

Dans le cas d’espèce, nous observons deux situations. Dans la première situation (Situation 1), c’est via l’intermédiaire de l’application Uber hébergée aux États-Unis que sont collectées et stockées l’ensemble des données des chauffeurs incluant les données de compte, de localisation, mais aussi des données telles que les documents d’identité, les données criminelles, de santé ou licence de taxi. La deuxième situation (Situation 2) concerne les procédures de gestion des exercices des droits des personnes concernées. Uber permet aux chauffeurs d’exercer leurs droits de différentes manières : (a) via un formulaire hébergé dans l’application ou sur le site web d’Uber ; (b) par une adresse électronique dédiée (b) et par le biais d’autres formes de communication telles qu’un courrier ou une conversation téléphonique (c). Dans le cadre d’une demande effectuée via le moyen a), le flux de données passera directement aux États-Unis via l’accès à la plateforme par le terminal de l’individu peu importe l’entité à laquelle la personne concernée choisit de s’adresser. UTI est donc la seule entité à recevoir et à traiter la demande.

Dans le cadre d’une demande via courrier électronique, la situation sera similaire en ce que UTI gère le nom de domaine en « uber.com » qui est hébergé aux États-Unis. Dans le cas c), il faut décomposer deux situations soit le chauffeur contact directement les services des filiales ou ceux de la maison mère aux États-Unis. Dans le premier cas, les employés d’UBV traiteront la demande et rempliront les détails de celle-ci directement dans un système de gestion hébergé aux États-Unis et géré par UTI. Dans le deuxième cas, les données sont envoyées directement aux États-Unis par la personne concernée. Selon la technicité de la demande, les données seront soit téléchargées via l’application (ou le site web) ou présélectionnées par UTI, et un employé d’UBV sera chargé de vérifier l’export et l’envoyer à a personne concernée. Par conséquent, les situations impliquant des transferts sont nombreuses, mais aussi spécifiques. En revanche, on constate que la majorité des données sont collectées et transférées directement par les chauffeurs sur la Plateforme présente sur leurs terminaux à UTI. UBV n’intervenant pas techniquement dans le traitement, et donc l’absence potentielle d’exportateur.

Ainsi, concernant le i) et le iii) critère ces derniers sont bien remplis.  UBV et UTI sont bien soumis au RGPD. UTI est localisé aux États-Unis qui est un pays tiers. En revanche, concernant le point ii) « l’exportateur communique par transmission ou rend accessible par un autre moyen des données à caractère personnel, qui font l’objet de ce traitement, à un autre responsable du traitement, responsable conjoint du traitement ou sous-traitant (l’« importateur ») ».

Ici « techniquement », il n’y a pas d’exportateur puisque le chauffeur télécharge les données directement via l’application présente sur son terminal mobile. Or en l’absence d’exportateur, il n’y a plus d’entité qui doit se conformer aux règles de transferts et d’évaluer l’existence de garanties appropriées nécessaires pour assurer un niveau équivalent de protection des données à caractère personnel.

Or cette interprétation restrictive est incompatible avec l’objectif d’assurer un niveau élevé de protection des données à caractère personnel[16]. Ainsi, l’AP va s’écarter d’un modèle classique d’analyse des transferts en tenant compte des évolutions techniques. Et pour cela elle va tenir compte de deux éléments l’existence d’un flux de données entre l’EEE et les États-Unis et une influence exercée par le responsable de traitement sur le transfert. Concernant, le flux entre l’EEE et les États-Unis. Ici, Uber utilise l’application destinée aux chauffeurs comme outil technique pour transférer des données à caractère personnel de l’EEE vers les États-Unis. UBV partage la responsabilité de traitement concernant les transferts et exerce un contrôle sur le transfert de données à caractère personnel vers l’EEE.

Concernant le flux entre l’EEE et les États-Unis. Ici, Uber utilise l’application destinée aux chauffeurs comme outil technique pour transférer des données à caractère personnel de l’EEE vers les États-Unis. UBV partage la responsabilité de traitement concernant les transferts et exerce un contrôle sur le transfert de données à caractère personnel vers l’EEE.

Concernant l’influence exercée par le responsable de traitement, l’AP va se focaliser sur le contexte dans lequel les actions et la volonté des personnes concernées se réalisent et dégager un faisceau d’éléments constitutifs de cette influence. Si l’AP souligne qu’elle est consciente qu’il n’y a pas d’exemples référencés dans les lignes directrices du CEPD[17] (notamment dans le cadre d’une relation précontractuelle liée à un emploi), mais en l’espèce : la relation contractuelle entre les chauffeurs Uber de l’EEE et UBV s’appuie sur des conditions prérédigées, et non négociables qui seule permettent d’accéder à la plateforme et soumettent le chauffeur aux finalités et moyennes prédéterminées de traitement des données par l’UTI et l’UBV. En outre, l’activité principale consistant à fournir des services de transport sur la Plateforme exige que le chauffeur Uber télécharge des données personnelles et qu’Uber collecte en permanence des données personnelles à partir de l’appareil du chauffeur Uber (notamment pour la mise en relation, le parcours de la course, etc.). Ainsi, même si les chauffeurs ont conclu le contrat de leur plein gré, ils n’ont en revanche, pas de poids ni dans la négociation, ni dans la détermination des finalités et des moyens du traitement. L’absence d’autonomie est renforcée par l’influence d’Uber sur les comportements des chauffeurs. Cette influence s’exerce de plusieurs manières sur les chauffeurs d’une part via des incitations financières (avantages conférés à certains véhicules, système d’évaluation et processus d’exclusion, algorithme qui prédétermine le trajet, et enfin la fixation de certaines exigences supplémentaires relatives à la collecte (téléchargement de documents, assurances, absence de casier judiciaire, etc.). Cette influence témoigne donc d’une absence totale de contrôle sur les finalités et moyens de traitement en question. Les chauffeurs ne pouvant être considérés comme responsables de traitement dans les deux situations de transfert évoquées. L’AP va même plus loin en insistant sur l’existence d’une relation de travail hiérarchique et citant même un arrêt de la Cour de cassation[18]. Cette décision s’inscrivant dans une démarche de protection du statut des travailleurs des plateformes qui bénéficieront bientôt[19] d’une présomption de relation de travail.

Par ailleurs, l’AP ne retient pas la qualification de « traitement interne »[20]. En effet, deux responsables du traitement sont impliqués, UBV, basé dans l’UE, et UTI, basé aux États-Unis. Ces entités déterminent conjointement les finalités et les moyens du traitement des données à caractère personnel des chauffeurs Uber, comme décrit dans les situations 1 et 2.

Par conséquent, l’AP conclut les critères étant remplis, UBV se devait donc de respecter le chapitre V et de déterminer un instrument de transfert efficace au regard du droit et de la pratique en vigueur dans le pays tiers.

 

 

B – Analyse des mécanismes de transferts

 
     Conformément au chapitre V, les transferts en dehors de l’UE sont en principe interdit sauf en présence d’une décision d’adéquation[21] ou des garanties appropriées[22] telles que des CCTs, des règles contraignantes d’entreprise (BCR), ou des clauses contractuelles validées par l’autorité de contrôle compétente [23]. En l’absence de ces dernières, il est possible de recourir aux exceptions dans les conditions citées à l’article 49 du RGPD.

            Les transferts sont effectués entre l’EEE et les États-Unis. Or entre le 16 juillet 2020 (annulation du Privacy Shield) et le 10 juillet 2023 date de validation du Data Privacy Framework[24], les États-Unis ne sont plus couverts par une décision d’adéquation. Le recours aux CCT, a été abandonné par Uber le 9 aout 2021. Enfin, il ressort des échanges entre l’AP et Uber, aucun autre mécanisme listé à l’article 46 n’a été mis en place (pas de BCR ni de sollicitation de l’autorité pour la validation des clauses contractuelles). Ainsi durant cette période, seule l’utilisation des dérogations pouvait permettre à Uber d’avoir un instrument légitimant les transferts des données vers les États-Unis.

L’article 49 du RGPD qui établit une liste de dérogation, que l’on peut préciser par la lecture du considérant 111 du RGPD qui fait référence à des notions clés dans l’application des dérogations tel que le caractère accessoire et nécessaire du transfert[25]. En outre, les lignes directrices du 2/2018 du CEPD[26] « Le CEPD notent que le considérant 111 utilise le terme « occasionnel » et que le deuxième paragraphe de l’article 49, paragraphe 1, utilise le terme « non répétitif » dans la dérogation fondée sur les « intérêts légitimes impérieux ». Ces termes impliquent que des transferts similaires peuvent se produire plus d’une fois – mais pas régulièrement – et devraient intervenir dans des circonstances aléatoires, inconnues et à des intervalles irréguliers. Ainsi, un transfert de données qui se produit régulièrement dans le cadre d’une relation stable entre un exportateur de données et un importateur de données sera généralement considéré comme systématique et répétitif et par conséquent, non accessoire et non répétitif.

En l’espèce, deux dérogations sont avancées par Uber, les dérogations fondées sur l’article 49, paragraphe 1, point b) (pour la situation 1) et c) (pour la situation 2)  qui disposent : « En l’absence de décision d’adéquation en vertu de l’article 45, paragraphe 3, ou de garanties appropriées en vertu de l’article 46, y compris des règles d’entreprise contraignantes, un transfert ou un ensemble de transferts de données a caractère personnel vers un pays tiers ou à une organisation internationale ne peut avoir lieu qu’à l’une des conditions suivantes: (…)  b) le transfert est nécessaire à l’exécution d’un contrat entre la personne concernée et le responsable du traitement ou à la mise en œuvre de mesures précontractuelles prises à la demande de la personne concernée ; c) le transfert est nécessaire à la conclusion ou à l’exécution d’un contrat conclu dans l’intérêt de la personne concernée entre le responsable du traitement et une autre personne physique ou morale (…)».

S’agissant de la situation 1, qui pour rappel fait état de la collecte des données des chauffeurs dans le cadre de leur l’inscription, du suivi de leur comportement, du nombre de chauffeurs, de la quantité de données collectées, de la récurrence des transferts, ces transferts sont systématiques, continus, et répétitifs. Ainsi, le caractère accessoire et non répétitif ne peut être reconnu dans ce cadre, l’exception ne pouvant être invoquée.

S’agissant de la situation 2, et notamment de l’évaluation de l’exigence de nécessité. À cette fin, l’AP rappel que l’exigence de nécessité requiert que le traitement soit objectivement indispensable à l’exécution du contrat[27] et qu’il importe peu que le traitement soit utile au contrat. Le responsable de traitement doit donc démontrer que le lien de nécessité comme étant étroit et substantiel par rapport à la finalité de l’accord. Or en l’espèce, Uber apporte deux éléments d’une part que le transfert a lieu dans le contexte des accords de partage des données (entre UBV et UTI) et d’autre part que le traitement centralisé des données aux États-Unis est essentiel pour pouvoir offrir les services Uber et garantir les droits des personnes à la protection de leurs données. Or, concernant le lien de nécessité, la CJUE a déjà statué que la simple existence d’un accord ne suffit pas et qu’il est nécessaire de démontrer qu’il n’y ait pas une autre solution possible qui soit moins intrusive.[28] Et s’agissant du caractère essentiel, Uber a insisté sur des éléments d’efficacité et de rapidité des traitements effectués, sans démontrer en quoi il était crucial que ce traitement ait lieu aux États-Unis. Ainsi l’AP conclut que sur la période du 6 aout au 27 novembre 2023 Uber ne pouvait invoquer avec succès aucune des dérogations de l’article 49 et qu’en conséquence, lors de cette période, les données ont été transférées illégalement.

 

Conclusion & apports secondaires de la décision Uber

 

À la suite de la constations du défaut de respect de l’article 44 du RGPD légitimant les transferts. L’AP a prononcé une amende administrative à l’encontre d’Uber en vertu de l’article 58 (2) du RGPD.

L’AP a procédé d’une manière très didactique dans l’application des critères énoncés par les lignes directrices du 04/2002 sur le calcul des amendes administratives au titre du RGPD. Ces dernières prennent en compte les activités de traitement, la détermination du montant de départ, l’existence de circonstances atténuantes ou aggravantes, les montants maximaux applicables aux infractions et le fait que le montant final de l’amende doit répondre aux exigences d’efficacité, de dissuasion et de proportionnalité. En l’espèce, les éléments suivants ont été prépondérant dans la catégorisation de l’infraction comme étant grave :  (i) la nature de la violation – transferts de données dans un pays tiers ne satisfaisant pas aux conditions requises ; (ii) La durée du manquement – plus de deux ans et trois mois ; (iii) le fait que les transferts étaient au cœur de l’activité de traitement d’Uber, systématiques et continus (iv) les catégories de données à caractère personnel traitées ainsi que leurs quantités importantes – Uber collectait et transférait des données sensibles de l’ensemble des chauffeurs de l’UE (tel que des données de santé / données criminelles). Or l’accès par les autorités publiques américaines augmente sensiblement la gravité du manquement.

Enfin, s’appuyant sur le considérant 150 (…) « Lorsque des amendes administratives sont imposées à une entreprise, ce terme doit, à cette fin, être compris comme une entreprise conformément aux articles 101 et 102 du traité sur le fonctionnement de l’Union européenne. (…) » or il est ressort de la jurisprudence de la CJUE qu’une entreprise est toute entité exerçant une activité économique, indépendamment de sa forme juridique et de son mode de fonctionnement[29]. Ainsi, l’unité économique importe et non les entités juridiques qui la composent. UBV étant une filiale à 100% de UTI, elles doivent être considérées comme faisant partie de la même société. Le chiffre d’affaires mondiale d’UTI de 2023 servant de base à la détermination du montant de la sanction administrative soit 37,281 milliards de dollars.

Ainsi, en prenant en compte la gravité de l’infraction, ce montant devra donc être situé à minima entre 20% (soit 273,881 millions d’euros) et 100% des 4% (1,379 milliard d’euros) du chiffre d’affaires mondial. Enfin, en l’état des considérations relatives à l’importance de la violation, l’AP fixe une amende à un montant de 290 millions d’euros, montant qu’elle estime comme étant efficace, proportionné et suffisamment dissuasif. Uber a déjà annoncé qu’il fera appel de la décision dont Caspar Nixon, porte-parole d’Uber a déclaré comme étant « erronée en droit » et que « cette amende extraordinaire est totalement injustifiée ». Affaire que nous suivrons de près.

 


[1] La première plainte déposée par la LDH a donné lieu à une sanction de 10 millions d’euros en décembre 2023 – lien de la décision en anglais – https://www.autoriteitpersoonsgegevens.nl/en/current/uber-fined-eu10-million-for-infringement-of-privacy-regulations

[2] Le Privacy Shield (Bouclier de protection des données en français), était un mécanisme d’auto-certification pour les sociétés établies aux État-Unis d’Amérique.Ce dispositif avait été reconnu par la Commission européenne comme offrant un niveau de protection adéquat aux données personnelles transférées depuis une entité européenne vers des sociétés établies aux États-Unis. Le Privacy Shield UE-États-Unis était entré en vigueur le 1er août 2016. Le 16 juillet 2020, la grande chambre de la Cour de Justice de l’Union Européenne a invalidé la décision d’adéquation de la Commission Européenne, le privacy shield ne constituant plus une garantie juridique suffisante pour transférer des données personnelles de l’Union Européenne vers les Etats-Unis. Lien de la décision C-311/18  https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A62018CJ0311

[3] Pour en savoir plus sur le mécanisme de guichet unique – https://www.cnil.fr/fr/le-guichet-unique

[4] Disponible à l’adresse – uber.com/legal/fr/document/?name=privacy-notice&country=france&lang=fr

[5] Le réglement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données est entré en application le 25 mai 2018 et abroge la direction 95/46/CE,

[6] Accord de partage de données Uber – entre Uber B.V et Uber Technologies Inc. Champ d’application : Données personnelles d’Uber et données des  employés. Accord conclu le 6 aout 2021.

[7] Voir le paragraphe 42 de la décision en néerlandais téléchargeable – https://www.autoriteitpersoonsgegevens.nl/actueel/ap-legt-uber-boete-op-van-290-miljoen-euro-om-doorgifte-data-chauffeurs-naar-vs

[8] Voir en ce sens, Charte des droits fondamentaux de l’Union Européenne du 18 décembre 2000 ;

[9] Voir à cet égard C-311/18, Schrems II, ECLI:EU:C:2020:559, point 141 ;

[10] 39 Voir, dans ce contexte, par exemple, C-40/17, Fashion ID GmbH c Co. KG, ECLI:EU:C:2019:629, point 50.

[11] Article 45 du RGPD

[12] Article 46 du RGPD

[13] Article 47 du RGPD

[14] Article 49 du RGPD

[15] Voir à ce sujet les Lignes directrices 05/2021 sur l’interaction entre l’application de l’article 3 et des dispositions relatives aux transferts internationaux du chapitre V du RGPD

[16] A voir plus précisément dans le paragraphe 86 de la décision de l’AP.

[17] Lignes directrices du CEPD 05/2021 sur l’interaction entre l’application de l’article 3 et les dispositions relatives aux transferts internationaux du chapitre V du RGPD

[18] Voir en ce sens, Cour de cassation, civile, Chambre sociale, 4 mars 2020, 19-13.316, Publié au bulletin point 15 : « La cour d’appel, qui a ainsi déduit de l’ensemble des éléments précédemment exposés que le statut de travailleur indépendant de M. F… était fictif et que la société Uber BV lui avait adressé des directives, en avait contrôlé l’exécution et avait exercé un pouvoir de sanction, a, sans dénaturation des termes du contrat et sans encourir les griefs du moyen, inopérant en ses septième, neuvième et douzième branches, légalement justifié sa décision. »

[19] Voir la directive du Parlement Européen et du Conseil relative à l’amélioration des conditions de travail dans le cadre du travail via une plateforme – lien – https://eur-lex.europa.eu/legal-content/FR/ALL/?uri=CELEX:52021PC0762

[20] Voir dans ce sens – paragraphe 17 des lignes directrices du 05/2021 et paragraphe 70 de la présente décision.

[21] Article 45 paragraphe 1 du RGPD qui dispose : « « Un transfert de données à caractère personnel vers un pays tiers ou une organisation internationale peut avoir lieu si la Commission a décidé que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés de ce pays tiers, ou l’organisation internationale en question assure un niveau de protection adéquat. Aucune autorisation spécifique n’est requise pour un transfert similaire. » 

[22] Article 46 paragraphe 1 du RGPD : «En l’absence d’une décision prise en vertu de l’article 45, paragraphe 3, le transfert de données à caractère personnel vers un pays tiers ou une organisation internationale par un responsable du traitement ou un sous-traitant ne peut avoir lieu qu’à condition que ces derniers offrent des garanties appropriées et que les personnes concernées disposent de droits opposables et de voies de recours effectives »

[23] Article 46 paragraphe 3 point a) du RGPD qui dispose: « sous réserve de l’autorisation de l’autorité de contrôle compétente, les garanties appropriées visées au paragraphe 1 peuvent aussi être fournies, notamment, par : a) des clauses contractuelles entre le responsable du traitement ou le sous-traitant et le responsable du traitement, le sous-traitant ou le destinataire des données à caractère personnel dans le pays tiers ou l’organisation internationale; »

[24] Data Privacy Framework ou DPF : est le mécanisme reconnu comme étant adéquat par la Commission Européenne le 10 juillet 2023 – voir en ce sens https://commission.europa.eu/system/files/2023-07/Adequacy%20decision%20EU-US%20Data%20Privacy%20Framework_en.pdf

[25] Considérant 111 du RGPD : « le transfert devrait être possible dans certains cas où la personne concernée a donné son consentement explicite, lorsque le transfert est accessoire et nécessaire dans le cadre d’un contrat ou d’une demande en justice, que l’action soit de nature judiciaire, administrative ou extrajudiciaire, y compris les procédures devant les organismes de règlementation. […] ». »

[26] Lignes directrices 2/2018 relatives aux dérogations prévues à l’article 49 du règlement (UE) 2016/679

[27] 106 Arrêt de la CJUE du 4 juillet 2023 Meta (ECLI:EU:C:2023:537), paragraphe 98.

[28] Cf. arrêt de la CJUE du 4 juillet 2023 Meta (ECLI:EU:C:2023:537), point 99 : au contraire, la Cour déclare explicitement que le fait d’être « utile » ne constitue pas une nécessité.

[29]« la notion d’entreprise comprend toute entité exerçant une activité économique, indépendamment du statut juridique de cette entité et de son mode de financement »   CJCE, 23 avr. 1991, aff. C-41/90, Klaus Höfner et Fritz Elser c/ Macrotron GmbH : Rec. CJCE 1991, I, p. 1979. – TPICE, 22 oct. 1997, aff. jtes T-213/95 et T-18/96, Stichting Certifcatie Kraanverhuurbedrijf (SCK) et Federatie van Nederlandse Kraanverhuurbedrijven (FNK) c/ Commission : Rec. CJCE 1997, II, p. 1739).

Interview de Benjamin Gras sur BFM Business

Benjamin Gras, associé-fondateur d’Inside, évoque la transformation digitale des directions juridiques, l’accompagnement proposé par Inside Avocats et l’offre de consulting d’Inside Skills. Benjamin Gras évoque également les deux grands chantiers stratégiques du cabinet d’ici la fin de l’année 2020.