Il n’y a pas eu de Saint-Valentin le 14 février dernier pour de nombreux chauffeurs de voitures de transport avec chauffeur (VTC). Partout dans le monde et surtout en Amérique du Nord, des milliers de chauffeurs Uber ont fait grève à l’occasion de cette journée normalement très animée afin de protester pour obtenir des meilleurs salaires et conditions. Cette opération n’a cependant pas eu l’impact escompté chez Uber comme le déclare son porte-parole :

« In fact, in most markets, there are more drivers on the road today than there were during the same period last week. »

Mais les champions incontestés de la protestation, c’est connu, ce sont les Français. À l’origine, un dossier contre Uber aux Prud’hommes mené par Me Jérôme Giusti. Éprouvant des difficultés à obtenir des données d’Uber concernant ses clients afin d’étoffer sa preuve dans ce dossier, il se tourne alors vers la Ligue des droits de l’Homme (LDH). Le 12 juin 2020, la LDH, représentant 172 chauffeurs Uber, intente la première action de groupe en matière de protection des données personnelles contre Uber en France devant la Commission nationale informatique et libertés (CNIL). La plainte sera ensuite déférée à l’autorité néerlandaise des données personnelles (AP).

Ouvrons une parenthèse procédurale pour expliquer ce transfert, car la situation risque fortement de se reproduire. C’est en raison de la procédure du guichet unique, qui a pour but d’harmoniser les décisions en matière de protection des données au niveau européen, que le dossier de la CNIL s’est retrouvé devant l’AP. L’objectif est d’avoir qu’une seule décision pour tous les pays soumis au règlement général sur la protection des données (RGPD). En l’occurrence, lorsque, comme c’était le cas, il y a un traitement transfrontalier des données au sens de l’art. 4 par. 23 RGPD, nous devons déterminer l’autorité chef de file en identifiant l’« établissement principal » de l’entreprise en cause au sens de l’art. 4 par. 16 RGPD, soit le pays où se situe « le lieu de son administration centrale dans l’Union. » Dans le cas d’Uber, c’est aux Pays-Bas. La CNIL est restée néanmoins une « autorité de contrôle concernée » au sens de l’art. 4 par. 22 c) RGPD et la décision a été prise en étroite collaboration avec cette dernière. Fermons cette parenthèse.

L’AP a par la suite demandé à son service d’enquête internationale de produire un rapport sur les manquements d’Uber.

Finalement, la sanction rendue le 11 décembre 2023 à l’encontre d’Uber Technologies Inc., la société mère d’Uber située aux Etats-Unis et d’Uber B.V., sa filiale européenne néerlandaise conjointement, impose une amende administrative de 10 000 000€ pour la violation de l’art. 12 par. 1 et 2 RGPD et de l’art. 13 par. 1 f), par. 2 a) et b) RGPD.

Comment sommes-nous arrivés à ce montant ? Pourquoi une amende de 10 millions d’euros ? Nous allons évoquer les manquements eux-mêmes, pour se concentrer sur le mécanisme de détermination du montant de l’amende.

C’est l’art. 83 par. 2 RGPD qui encadre les conditions générales pour imposer des amendes administratives. Dans le cas d’une violation des dispositions 12 à 22, comme c’est le cas ici, c’est, selon l’art. 83 par. 5 RGPD une amende pouvant aller jusqu’à 4 % du chiffre d’affaires annuel mondial d’une entreprise par infraction.

L’amende de 10 millions imposée à Uber est en réalité composée de deux amendes de 5 millions, correspondant à deux infractions.

Si l’on revient au raisonnement de l’art. 83 par. 5 RGPD, les états financiers annuels d’Uber pour 2022 affichent que le chiffre d’affaires global de l’entreprise est de 31,877 milliards de dollars, soit 29,750 milliards d’euros. Une sanction de 4% par infraction équivaudrait à deux amendes de 1,19 milliard d’euros, soit 2,38 milliards d’euros. Alors pourquoi la sanction est si douce pour Uber ?

Afin de déterminer la sanction, l’AP s’est notamment appuyée sur les lignes directrices (harmonisée dans l’UE) adoptées en mai 2022 par le comité européen de la protection des données (EDPB) sur le calcul des amendes administratives en vertu du GDPR :

« Les lignes directrices sont directement applicables car elles ne prévoient pas de droit transitoire pour les procédures qui étaient déjà en cours lorsque les lignes directrices ont été adoptées. L’AP appliquera donc ces lignes directrices à cette affaire.

Les lignes directrices décrivent une méthodologie qui prend en compte successivement :

1. Quels et combien d’actes et de violations doivent être examinés ;
2. Le montant de départ est le point de départ du calcul de la pénalité ;
3. S’il existe des circonstances atténuantes ou aggravantes qui nécessitent un ajustement du montant de l’étape 2 ;
4. Quels sont les montants maximaux applicables aux infractions et si les augmentations éventuelles par rapport à l’étape précédente ne dépassent pas ce montant ;
5. Si le montant final de l’amende calculée répond aux exigences d’efficacité, de dissuasion et de proportionnalité, et s’il est ajusté en conséquence si nécessaire. »

Passons en revue chacun de ces points afin de comprendre ce qui a été déterminant dans l’imposition de la sanction à l’encontre d’Uber.

Premièrement, concernant le nombre d’actes et de violations, le service d’enquête internationale de l’AP a produit un rapport sur les manquements d’Uber. De ce rapport émane cinq manquements :

« Le rapport a relevé cinq manquements en matière de transparence, à savoir :

• Le formulaire numérique permettant d’introduire une demande d’inspection n’est pas suffisamment accessible dans l’application du conducteur (art. 12 par. 2 RGPD).

• Uber, en réponse à une demande d’accès, fournit une copie des données à caractère personnel sous une forme qui n’est pas facilement accessible, et les notes d’orientation y afférentes ne sont pas rédigées dans une langue (anglais) compréhensible pour les conducteurs (français) (art. 12 par. 1 RGPD).

• Uber ne fournit pas d’informations suffisamment précises sur les périodes de conservation dans l’avis de confidentialité (art. 13 par. 2 a) RGPD et art. 15 par. 1 a) et d) RGPD).

• Dans son avis de confidentialité, Uber ne mentionne pas spécifiquement les noms des pays vers lesquels les données sont transférées, ni les mesures de protection spécifiques (art. 13 par. 1 f) RGPD et art. 15 par. 2 RGPD).

• Uber ne mentionne pas explicitement le droit à la portabilité des données dans son avis de confidentialité (art. 13 par. 2 b) RGPD). »

De ces 5 manquements, deux comportements distinctement sanctionnables ont été identifiés. Soit en deux groupes, les points 1) et 2) ci-dessus (manquement à l’art. 12 RGPD) et les points 3), 4) et 5) ci-dessus (manquement à l’art. 13 RGPD). Ce sont les deux infractions relevées plus haut.

Trois raisons justifient cette division. D’abord les comportements ont lieu à des moments différents. Ensuite, les comportements ne visent pas nécessairement le même groupe de personnes. Enfin, les violations peuvent exister séparément et ne sont pas liées par un lien de causalité.

Deuxièmement, pour déterminer le montant de départ dans le cas d’Uber, l’AP a suivi les lignes directrices précisant qu’il est possible de le déterminer sur la base de trois éléments : la catégorisation des infractions conformément à l’art. 83 par. 4 à 6 RGPD ; la gravité de l’infraction et le chiffre d’affaires de l’entreprise. Nous avons déjà vu la catégorisation de l’infraction de l’art. 83 par. 5 RGPD et le chiffre d’affaires d’Uber plus haut.

Qu’en est-il de la gravité de l’infraction ? Pour la déterminer, nous prenons en compte « la nature, la gravité et la durée de la violation, ainsi que le caractère intentionnel ou négligent de la violation et les catégories de données à caractère personnel concernées. »

Essentiellement, comme nous l’avons déjà mis en lumière, Uber n’a pas fourni ou rendu accessible les informations des chauffeurs et n’a pas assuré de transparence par rapport à leur traitement. Quant aux personnes concernées par la violation, il y avait, pendant la période de violation, 120 000 chauffeurs Uber actifs en Europe.

Et, bien qu’Uber ait rendu difficile l’application du RGPD, ce n’était pas totalement impossible pour les chauffeurs d’avoir accès à leurs données. Uber n’a pas manqué aux art. 12 et 13 RGPD en totalité. Les violations se limitent notamment à la langue des notes d’orientation (anglais) et à l’accessibilité des fichiers CSV.

Il est aussi pris en compte qu’Uber a pris de nombreuses mesures pour améliorer et continuer à améliorer ses procédures.

La durée des violations est aussi importante, en l’occurrence elle a été fixée du 25 mai 2018 au 17 février 2022, au 29 juin 2022, et au 3 novembre 2022 selon les manquements.

L’AP a estimé que le niveau de gravité des infractions était « faible ». Pour les infractions peu graves, selon les lignes directrices « le montant de départ devrait être fixé à un point situé entre 0 et 10% du plafond des amendes. » C’est donc vraiment à ce point-là des lignes directrices que l’AP fixe le montant de départ à 5 millions d’euros pour chacune des infractions dans la décision. Cela correspond à 0,42% du plafond des sanction applicables. La gravité de l’infraction était vraisemblablement très faible selon l’AP. Nous comprenons que plus l’infraction est grave dans sa catégorie, plus le montant de départ sera élevé.

Troisièmement, et en continuité du point précédent, les éléments atténuants ou aggravants de l’art. 83 par. 2 RGPD sont pris en compte. D’ailleurs, les éléments de l’art. 83 par 2 a) à k) ont déjà, en partie, été pris en compte à l’étape précédente, il reste théoriquement les points c) à f) et h) à k) à considérer. Ils ne s’appliquent pas tous dans ce cas. L’AP s’intéresse à la personne qui a déclaré l’infraction. Mais cela n’a pas eu d’incidence sur le montant de l’amende dans le cas d’Uber.

Quatrièmement, le montant maximal pour l’infraction n’est pas atteint comme nous l’avons vu plus haut.

Cinquièmement, point déterminant d’un point de vue macro, l’AP retient que « Comme indiqué dans les lignes directrices, l’imposition d’une amende peut être considérée comme efficace si elle atteint l’objectif pour lequel elle a été imposée. » Selon l’AP, cette sanction permet de promouvoir le respect des réglementations applicables, il est notamment pris en compte qu’Uber a déjà rectifié certaines de leurs pratiques.

En conclusion de cette analyse des facteurs impactant pour la détermination d’une peine infligée à une entreprise pour un manquement au RGPD, nous avons vu que le résultat dépend de l’application de l’article de sanction pertinent du RGPD, donc du chiffre d’affaires de l’entreprise, mais pas seulement. Les lignes directrices jouent un grand rôle dans la détermination des sanctions, notamment le point deux relativement à la gravité de l’infraction qui se joint aux circonstances aggravantes et atténuantes. Cela a pour conséquence de faire appel à la subjectivité des décideurs notamment au moment de décider le pourcentage de la sanction maximale à appliquer. Il n’y a pas de justification détaillée du choix du pourcentage en tant que tel, ni de comparaison avec d’autres cas similaires. C’est un terrain que nous allons continuer de découvrir au fur et à mesure des décisions. L’objectif général est l’efficacité de la sanction et la dissuasion pour les entreprises de rentrer en violation du RGPD.

Bien que nous ayons souligné que la sanction était plutôt légère, elle semble adaptée aux manquements et les principaux acteurs, dont la LDH, s’en félicitent. De son côté Uber a déjà fait appel. Toutefois, si la sanction est confirmée en appel, c’est le Centraal Justitieel Incassobureau (bureau central de recouvrement judiciaire) du ministère néerlandais de la Justice et de la Sécurité qui se chargera de recouvrir l’amende et partout en Europe les autorités de protection des données vont pouvoir faire exécuter la décision. La question se pose maintenant de savoir si les chauffeurs vont en plus intenter une action de groupe en dommages, en effet ces derniers ne perçoivent rien sur les 10 millions imposés, manifestement les chauffeurs n’ont pas fini de protester.