Safe Harbor et Privacy Shield ont connu une même fin : une invalidation par la Cour de Justice de l’UE. L’encadrement des transferts de données personnelles vers les Etats-Unis reste un sujet compliqué et souvent contesté.
Les acteurs américains du numérique n’ont pas toujours tenu compte des aventures chaotiques de la régulation européenne et adapté leurs pratiques. Pour avoir poursuivi ses transferts, Meta a ainsi écopé d’une amende record de 1,2 milliard d’euros en 2023.
Uber disposait d’alternatives au Privacy Shield
La firme de Zuckerberg n’était toutefois pas la seule à avoir volontairement ignoré l’invalidation du Privacy Shield. C’est au tour d’Uber, dont le siège européen se situe à Amsterdam aux Pays-Bas, d’être condamné pour un même manquement.
Suite à la plainte collective de La Ligue des droits de l’Homme, la Cnil néerlandaise avait déjà pu constater que Uber transférait les données personnelles des chauffeurs de la plateforme vers les Etats-Unis.
L’autorité sanctionnait toutefois le service en ligne pour plusieurs manquements à l’information des chauffeurs. Résultat : dix millions d’euros d’amende. Mais les transferts vers les US malgré l’absence de cadre légal n’ont pas été oubliés pour autant.
En étroite collaboration avec la Cnil française, les investigations et la procédure se sont poursuivies. Et celles-ci ont permis de constater que Uber avait maintenu ses transferts hors de l’Europe et sans “des garanties appropriées.”
Des transferts sans garanties appropriées
Pour réaliser ces transferts, l’entreprise disposait de plusieurs options juridiques, dont les clauses contractuelles types. Uber a choisi de les ignorer entre le 6 août 2021 et le 21 novembre 2023. C’est seulement à cette date que l’acteur est revenu dans le droit chemin.
En effet, Uber a procédé le 21 novembre dernier à son inscription sur la liste du Data Privacy Framework. Le DPF a succédé au Privacy Shield suite à son invalidation. Sa pérennité semble néanmoins, une fois encore, très fragile.
Quant à Uber, sa décision de poursuivre les transferts de données de 2021 à 2023, sans que ceux-ci ne soient “encadrés par des garanties appropriées”, lui vaut une condamnation pour infraction au RGPD. L’homologue néerlandaise de la cnil lui inflige 290 millions d’euros de sanction.