Village de la Justice Village-justice.com
Sanction record de la CNIL contre Uber ! Par Eloïse Urbain, Avocat.
vendredi 11 janvier 2019
Adresse de l'article original :
https://www.village-justice.com/articles/joyeux-noel-uber-signe-cnil,30404.html
Reproduction interdite sans autorisation de l'auteur.

La formation restreinte de la Commission nationale de l’informatique et des libertés (CNIL) a rendu une délibération prononçant une sanction pécuniaire de 400.000 € à l’encontre de la société Uber France SAS, décision rendue publique en raison de la nécessité de sensibiliser les responsables de traitement de données à caractère personnel aux risques en matière de sécurité des données dans un contexte de multiplication de ce type d’incidents.

En novembre 2017, Uber Technologie avait révélé une faille de sécurité ayant permis à deux personnes extérieures à la société d’accéder à 57 millions de données par la récupération d’une clé d’accès au serveur via une plateforme de développement utilisée par les ingénieurs de la société Uber.

La délibération n’a pas été prise en application du Règlement 2016/679/UE (RGPD) [1] car les faits sont antérieurs au 25 mai 2018, mais tient compte des dispositions apportées par la loi pour une République numérique du 7 octobre 2016 [2] et notamment la hausse du montant maximum des sanctions (passé de 150 000 euros à 3 millions d’euros). Pour autant, elle est à prendre en considération pour l’avenir, lorsque les plafonds du RGPD (jusqu’à 2 voire 4% du chiffre d’affaires annuel mondial total de l’exercice précédent selon le manquement) seront appliqués.

Ce qu’il faut retenir de la délibération :

Sur la qualification des acteurs en causes : la formation restreinte retient la coresponsabilité des entités Uber B.V (Pays Bas) et Uber Technologies Inc. (Etats-Unis). En effet, si la société UBER B.V est considérée comme responsable du traitement en cause, la Commission relève, en se référant à un avis de l’ancien G29 [3] sur les notions de responsable et de sous-traitant [4], que la société Uber Technologies Inc. excède la marge de manœuvre dont peut disposer un sous-traitant : « la multitude des champs d’action dans lesquels intervient la société Uber Technologies Inc. témoignent du rôle déterminant qui est le sien dans la détermination des finalités et moyens du traitement ».

Il ressort notamment des faits de l’espèce qu’Uber Technologies Inc. :

Sur le prononcé de l’amende à l’encontre de Uber France SAS : la formation restreinte reconnaît la coresponsabilité des entités Uber BV et Uber Technologies Inc dans cette affaire, mais prononce une sanction pécuniaire à l’encontre d’Uber France SAS en application de la jurisprudence de la Cour de Justice européenne, et en particulier l’arrêt Wirtschaftsakademie Schleswig-Holstein du 5 juin 2018, aux termes duquel « lorsqu’une entreprise en dehors de l’Union dispose de plusieurs établissements dans différents Etats membres, l’autorité de contrôle d’un Etat membre est habilitée à exercer les pouvoirs que lui confère l’article 28, paragraphe 3 de cette directive [5] à l’égale d’un établissement de cette entreprise »

Sur les manquements en cause : la formation restreinte rappelle au travers de sa délibération les points suivants en matière de sécurité des données (et ce même si de telles mesures impliquent de longs développements et ne concernent pas des données sensibles [6]) :

Il ressort de cette délibération un premier constat pour les groupes d’envergure mondiale comme Uber, à savoir que l’ingérence des entités globales dans la gestion des entités locales peut aboutir à une coresponsabilité desdites entités, cette ingérence pouvant résulter notamment, comme le relève la formation restreinte, de directives en matière de gestion des traitements de données, de solutions fournies, voire même, pourrait-on supposer, de la fourniture de modèles de clauses contractuelles ou de documents contractuels par la société mère.

Or, et c’est là le second constat, il existe une incertitude concernant les politiques « groupe » de mise en conformité au RGPD et de la désignation d’un DPO « groupe » alors que de telles mesures pourraient laisser percevoir une forme d’ingérence dans la gestion des traitements par les entités locales. La question se pose d’autant plus que le RGPD a eu pour conséquence de tels changements dans la gestion des risques liés aux traitements de données à caractère personnel que nombre de groupes ont favorisé des démarches globales de mise en conformité et une harmonisation de la documentation.

Référence et date : Délibération de la formation restreinte n° SAN-2018-011 du 19 décembre 2018 prononçant une sanction pécuniaire à l’encontre de la société Uber France SAS.

Lire la délibération sur Legifrance

Eloïse Urbain Avocat à la Cour TAoMA Partners www.taoma-partners.fr

[1Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

[2Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique.

[3Groupe de l’article 29 de la Directive 95/46/CE remplacé par le Comité à la protection des données depuis l’entrée en application du RGPD.

[4G29, avis n°1/2010 du 16 février 2010 sur les notions de responsable et de sous-traitant

[5Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

[6Les données sensibles sont celles visées par l’article 8 et 9 de la Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée.