Intervention de Mathias Moulin

Tout à fait, et elle permet également une certaine cohérence. La dimension européenne de cette procédure lui conférant une portée globale, les autorités peuvent prendre des mesures touchant l'ensemble des plateformes qui opèrent au sein de l'Union européenne. À la suite des investigations, Uber s'est ainsi mise en conformité en revoyant l'ensemble de son processus d'information et en le rendant entièrement disponible en français. Les différents points à l'origine des plaintes ont donc été résolus au fil de l'instruction.

Si la mise en conformité d'Uber est totale, la décision proposée aura pour but de sanctionner ses irrégularités passées au regard du RGPD. Dans ce cas, aucune injonction de faire ne sera prononcée.

La Cnil peut aussi décider d'injonctions sous astreinte, pour un montant pouvant s'élever à 100 000 euros par jour, afin d'obliger l'entreprise à se mettre en conformité. L'autorité néerlandaise peut très bien, le jour où elle soumettra le projet de décision aux autres autorités européennes, prononcer de telles astreintes à l'encontre d'Uber.

La deuxième catégorie de plainte, relative aux transferts de données hors de l'Union européenne, s'appuie sur l'arrêt dit « Schrems 2 » de la Cour de justice de l'Union européenne (CJUE) qui a constaté un niveau insuffisant de protection des données aux États-Unis et invalidé le bouclier de protection des données dit « privacy shield ». Par conséquent, les entreprises qui y transféraient des données doivent prendre des mesures complémentaires pour garantir leur protection.

Uber avait en effet recours à des moyens de traitement situés sur le territoire américain, d'autant que l'entreprise était soumise à l'extraterritorialité des lois américaines, ce qui permettait aux États-Unis d'obtenir des informations stockées en Europe, notamment à la faveur du Cloud Act – Clarifying Lawful Overseas Use of Data Act.

[Confidentiel]

Le principe d'une décision automatisée est interdit par le RGPD, qui admet cependant trois exceptions. La première, fondée sur le consentement libre et informé, est ici à écarter puisque cet accord n'était pas recueilli compte tenu des carences dont nous parlions ; la deuxième exception repose sur une autorisation conférée par le droit de l'Union européenne, ce qui n'était pas le cas en l'espèce ; et la troisième, qui gagnerait à être étudiée, concerne les décisions nécessaires à l'exécution d'un contrat.

La conclusion de l'analyse juridique a été retardée par les procédures judiciaires en cours devant les juridictions néerlandaises. Même si nous sommes une autorité administrative indépendante, nous suspendons généralement nos travaux lorsqu'une procédure judiciaire est en cours sur un de nos sujets d'investigation. Ainsi, lorsque le Conseil d'État est saisi d'un dossier sur lequel nous enquêtons, nous attendons sa décision afin de ne pas courir le risque d'agir dans un sens différent du sien, d'autant qu'il est notre juridiction d'appel et de recours.

De même, les juridictions ne se sentent pas toujours à l'aise à l'idée de prendre une décision en sachant qu'une procédure est simultanément menée par une autorité administrative indépendante.

Pour ce qui concerne les déconnexions, la cour d'appel néerlandaise a rendu avant-hier la décision que nous avions longtemps attendue et qui se trouve être plutôt favorable à la protection des données telle que nous la concevons. La juridiction a en effet considéré que les dispositifs de déconnexion avaient un impact significatif sur les personnes visées et que, même s'il y avait intervention humaine, il ne suffisait pas que quelqu'un procède à une vague vérification depuis un bureau à Cracovie pour considérer qu'il ne s'agissait pas d'un processus entièrement automatisé. En conséquence, elle a considéré que ce régime de décision automatisée ne répondait pas aux critères du RGPD.

L'autorité néerlandaise attendait elle aussi cette décision pour finaliser son analyse juridique. Nous allons donc pouvoir désormais avancer plus vite avec un dispositif robuste, puisqu'une partie du contentieux, et la plus complexe, a déjà été quelque peu purgée.

[Confidentiel]