anonym.legal

By · Last updated 2026-06-05

Retour au blogGDPR & Conformité

AP néerlandaise et l'amende de 290 millions d'euros...

L'AP néerlandaise a infligé la plus grande amende de l'UE pour transfert de données — 290 millions d'euros contre Uber.

June 5, 20269 min de lecture
Dutch APBSN detectionUber GDPR fineNetherlands compliancedata transfer GDPR

L'Autoriteit Persoonsgegevens (AP) a infligé à Uber une amende de 290 millions d'euros en août 2024. La sanction visait l'envoi de données de chauffeurs vers des serveurs américains sans accord de transfert valide. Aucune affaire RGPD n'a produit d'amende plus élevée pour un transfert transfrontalier. En 2023, l'AP a également traité plus de 21 400 plaintes. Cela en fait l'une des autorités de protection des données les plus actives d'Europe.

Ce que l'AP a constaté dans l'affaire Uber

Uber collectait des données auprès de chauffeurs aux Pays-Bas et en France. Ces données comprenaient l'historique de localisation, les pièces d'identité, les bulletins de salaire, les relevés de conduite et les fichiers fiscaux. Tout cela a été transféré vers des serveurs américains. L'AP a jugé la méthode de transfert invalide.

Trois constats ont motivé la décision :

  • Mécanisme de transfert insuffisant : Uber utilisait des Règles d'entreprise contraignantes (BCR). L'AP a estimé qu'elles ne couvraient pas le volume ni la sensibilité des données de chauffeurs transférées.
  • Pas d'évaluation d'impact du transfert (TIA) : Uber n'a pas démontré que le droit américain laissait intactes les protections du transfert convenues.
  • Données sensibles par combinaison : Les données de localisation, la rémunération et les notes de performance, combinées, donnent un portrait détaillé de chaque chauffeur. L'AP a traité cette combinaison comme équivalente à des données personnelles sensibles.

L'affaire Uber établit une règle claire. Les données du personnel et des sous-traitants envoyées aux États-Unis nécessitent le même TIA et les mêmes mesures supplémentaires que les données des consommateurs.

Priorités d'application de l'AP pour 2025

Mis à jour pour 2026

L'AP a identifié trois domaines qu'elle surveille de près en 2025.

Surveillance des employés : Les outils de suivi du travail à distance sont la cible principale. Cela inclut les journaux de productivité, la capture d'écran, le suivi des frappes clavier et les outils de géolocalisation à distance. Avant de déployer un tel outil, les entreprises doivent documenter pourquoi elles ont écarté des options moins intrusives.

Transferts transfrontaliers de données : Suite au jugement Uber, l'AP contrôle les mécanismes de transfert. Les entreprises qui utilisent des services américains, asiatiques ou d'autres pays sans décision d'adéquation sont concernées. Toute entreprise utilisant des logiciels américains pour les RH, la gestion de projet ou les données clients doit disposer d'un TIA à jour.

Décisions automatisées : La notation de crédit par algorithme, les filtres d'embauche IA et les systèmes d'évaluation des performances créent des obligations au titre de l'article 22. L'AP cible les organisations qui prennent des décisions automatisées sans étape de contrôle humain réelle. Les travailleurs et les consommateurs doivent tous deux être couverts.

Le BSN : un identifiant national protégé

Le Burgerservicenummer (BSN) est un numéro de service citoyen à 9 chiffres. Il est validé par l'algorithme Elfproef (épreuve des onze). Pour effectuer la vérification : multiplier chaque chiffre par un poids décroissant de 9 à −1, additionner les résultats. Le total doit être divisible par 11.

La loi BSN (Wet algemene bepalingen burgerservicenummer) limite l'utilisation du BSN à des contextes juridiques précis. Il s'agit du secteur fiscal, de la santé, des services gouvernementaux et de la paie des employeurs. L'utilisation d'un BSN en dehors de ces contextes déclenche une application de la loi BSN. La responsabilité RGPD s'y ajoute.

Pourquoi les outils génériques ratent les BSN : De nombreux outils NLP n'intègrent pas la vérification Elfproef. Sans elle, toute chaîne à 9 chiffres est signalée comme BSN potentiel. Cela génère de fausses alertes dans les documents financiers et administratifs. Les BSN mal saisis passent également inaperçus. Ils échouent à la vérification mais correspondent quand même au motif. Voir notre guide sur la détection des identifiants fiscaux européens et des DCP pour une comparaison complète des formats d'identifiants européens.

NER pour les textes néerlandais

Le néerlandais (Nederlands) a des caractéristiques qui posent problème aux modèles entraînés sur l'anglais.

Mots composés : Le néerlandais fusionne des mots. Persoonsgegevens (données personnelles) et Burgerservicenummer (numéro d'identification citoyen) sont chacun un mot unique. Les modèles conçus pour l'anglais les découpent souvent au mauvais endroit. Cela casse la reconnaissance d'entités.

Suffixes de prénoms : Les suffixes -je et -tje apparaissent dans les prénoms — Annetje, Hansje. Les modèles de reconnaissance de noms doivent traiter la forme de base et la forme diminutive.

Formats d'adresse : Les types de rues incluent Straat, Laan, Weg, Plein et Gracht. Les codes postaux comprennent quatre chiffres et deux lettres (exemple : 1234 AB). Chaque code correspond à une seule rue, ce qui le rend plus identifiant que la plupart des codes postaux européens.

Format IBAN : Les IBAN néerlandais comptent 18 caractères : NL + 2 chiffres de contrôle + code bancaire de 4 lettres + numéro de compte à 10 chiffres. Le pays a un fort taux d'adoption du paiement sans contact. Les documents financiers contiennent donc de nombreux IBAN. Pour les méthodes de scoring de confiance sur différents types d'identifiants, voir détection binaire des DCP et scoring de confiance.

Liste de contrôle technique pour la conformité AP

Pour répondre aux normes actuelles de l'AP, les systèmes de données ont besoin de :

  1. Détection BSN avec Elfproef — la correspondance de motifs seule ne suffit pas
  2. NER en langue néerlandaise — un modèle comme spaCy nl_core_news gère les composés et les formes diminutives
  3. Détection IBAN — sensible au format, pas générique
  4. Registres des sous-traitants pour tous les transferts transfrontaliers
  5. TIA pour les prestataires américains — une priorité d'audit active de l'AP après l'affaire Uber

Post-Uber, un TIA pour les prestataires américains est une exigence de base, pas une bonne pratique. Pour une analyse complète du jugement et de ses implications en matière de transfert, voir Amende AP contre Uber et application transfrontalière.

Sources

Articles connexes

GDPR & Conformité

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Conformité

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Conformité

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Prêt à protéger vos données ?

Commencez à anonymiser les PII avec plus de 285 types d'entités dans 48 langues.

Commencer l'essai gratuitVoir les fonctionnalités

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.