Les chauffeurs Uber ne veulent pas que leurs données partent aux Etats-Unis

169 chauffeurs de la plate-forme américaine ont saisi le Conseil d’Etat. Ils souhaitent qu’une enquête soit menée sur l’exportation de leurs données personnelles vers les Etats-Unis.

 Des chauffeurs Uber français veulent contraindre la plate-forme à plus de transparence sur les données que l’entreprise transfère aux Etats-Unis.
Des chauffeurs Uber français veulent contraindre la plate-forme à plus de transparence sur les données que l’entreprise transfère aux Etats-Unis. LP/Arnaud Journois

Ils se considèrent comme des lanceurs d'alerte. 169 chauffeurs de VTC d'Uber, associés à la Ligue des droits de l'Homme (LDH), ont saisi la semaine dernière le Conseil d'Etat. Ils demandent à la plus haute juridiction administrative d'ordonner à la Commission nationale informatique et libertés (Cnil) de contraindre Uber à plus de transparence sur les données que l'entreprise américaine transfère aux Etats-Unis. Un dossier sensible et complexe qui dépasse le cadre français.

Le 15 juillet 2020, la Cour de justice de l'Union européenne (CJUE) a invalidé le Privacy Shield ( NDLR : le bouclier de protection ), l'accord qui régissait depuis 2016 les transferts de données personnelles entre l'Union européenne et les Etats-Unis. Les juges ont estimé que la législation américaine, notamment celle sur la surveillance des communications électroniques qui octroie des pouvoirs très larges à la NSA, les grandes oreilles du renseignement américain, ne garantissait pas une protection équivalente aux citoyens européens à celles dont ils disposent en Europe. Et notamment dans le cadre du règlement général sur la protection des données personnelles (RGPD), entré en vigueur en 2018.

Des millions de données parties aux Etats-Unis

Concrètement, depuis cette date, les données personnelles des Européens ne peuvent plus être traitées sur le sol américain… Enfin, presque ! Les juges ont autorisé des contrats spécifiques qui autorisent les entreprises à continuer d'exporter des données vers les Etats-Unis à condition que des garde-fous suffisants soient apportés. « Nous voulons qu'Uber nous montre ces garanties, insiste Me Jérôme Giusti, l'avocat des chauffeurs de VTC. Je ne dis pas qu'elles n'existent pas. Mais nous voulons les voir. »

Dans sa décision, la justice européenne ordonne pourtant aux différentes Cnil des Etats membres de « suspendre ou d'interdire un transfert de données » si les conditions juridiques ne sont pas réunies. « La Cnil ne le fait pas, poursuit l'avocat. Nous avons donc saisi le Conseil d'Etat. »

Pourtant, le gendarme de l'informatique et des libertés n'est pas resté inerte. Dès juin, après les premières plaintes des chauffeurs de VTC contre Uber pour non-respect du RGPD, il a alerté ses homologues européens. L'enquête a été confiée à la Cnil néerlandaise, pays où le siège social d'Uber est installé. « Peut-être que la Cnil française attend le résultat de cette enquête mais il y a urgence, répète Me Giusti. Depuis cet été, ce sont des centaines de millions de données de citoyens français qui sont partis vers les Etats-Unis. » Contactée ce samedi, la Cnil n'était pas joignable.

«Des lanceurs d'alerte»

Pour les chauffeurs, ce combat va au-delà d'Uber. « Il concerne aussi les utilisateurs de Facebook, de Google, de toutes les grandes entreprises américaines, énumère Brahim Ben Ali, secrétaire général de l'Intersyndicale nationale VTC (INV). Nous sommes des lanceurs d'alerte. Que font les Américains avec nos données. Est-ce qu'une base géante est créée? »

Interrogé pour savoir si des données de citoyens européens étaient transférées aux Etats-Unis, Uber n'a pas répondu. En revanche, dans un mail, la plate-forme indique : « Uber est engagé à protéger les données personnelles des chauffeurs et des autres utilisateurs de notre plateforme et de nos services. Tous nos utilisateurs peuvent accéder à leurs données à tout moment, sur simple demande (…) Enfin, nous ne partageons pas les données personnelles de nos utilisateurs à des fins commerciales sans base juridique appropriée, ou suffisamment agrégées ne permettant pas l'identification de nos utilisateurs. »