CONTACT

Transferts de données aux Etats-Unis : première sanction pour non-respect du Data Privacy Framework

28 septembre 2024 | Derriennic Associés |

Transferts de données aux Etats-Unis : première sanction pour non-respect du Data Privacy Framework

L’autorité néerlandaise de contrôle a sanctionné Uber pour n’avoir pas respecté le Data Privacy Framework.

Rappel du cadre réglementaire concernant le transfert de données aux Etats-Unis

Il ressort de l’article 44 du RGPD qu’un transfert de données personnelles vers un pays tiers n’est licite que si le transfert est encadré par un outil spécifique, tel qu’une décision d’adéquation ou des garanties appropriées (CCT ou BCR).

Pour mémoire, entre le 16 juillet 2020 et le 9 juillet 2023, le transfert de données vers les Etats-Unis ne pouvait plus reposer sur une décision d’adéquation (en raison de l’invalidation du « Privacy shield » par la CJUE). Les responsables du traitement devaient alors recourir aux CCT ou aux BCR.

Depuis le 10 juillet 2023, il n’est plus utile d’encadrer les transferts par des CCT ou des BCR, la Commission européenne ayant adopté une nouvelle décision d’adéquation (le « Data Privacy Framework ») permettant un transfert de données vers une entité située aux Etats-Unis, à condition qu’elle se soit inscrite sur la « Data Privacy Framework List ».

La sanction d’Uber pour non-respect du Data Privacy Framework

Uber a ouvert une filiale aux Pays-Bas afin de proposer ses services sur le territoire européen. Dans ce cadre, la société néerlandaise transfère des données personnelles des utilisateurs et des chauffeurs vers sa maison mère, aux Etats-Unis. 

Saisie d’une plainte de plusieurs chauffeurs reprochant à la filiale néerlandaise d’Uber un transfert illicite de données vers les Etats-Unis, la CNIL a transmis la plainte à l’autorité néerlandaise de contrôle, autorité chef de file.

Au cours de son enquête, l’autorité de contrôle néerlandaise a constaté : 

  • Qu’avant le 10 juillet 2023, (pendant la période d’invalidation du « Privacy Shield »), Uber avait réalisé des transferts de données aux Etats-Unis sans les encadrer par des garanties appropriées (BCR ou CCT) ;
  • Que, surtout, puisque Uber ne s’est inscrite sur la « Data Privacy Framework List » que le 27 novembre 2023 et qu’elle n’encadrait pas les transferts par des garanties appropriées, tous les transferts de données réalisés entre le 10 juillet et le 27 novembre 2023 ont également été réalisés en violation du RGPD.

Compte tenu de ce qui précède, l’autorité de contrôle néerlandaise a infligé à Uber une amende de 290 millions d’euros.