L'Autoriteit Persoonsgegevens (AP) néerlandaise a infligé une amende de 290 millions d'euros à Uber en août 2024 pour transfert non autorisé de données personnelles de conducteurs entre l'UE et les États-Unis — la plus grande amende RGPD pour violation de transfert de données dans l'histoire de l'UE. Combinée à plus de 21 400 plaintes traitées en 2023, l'AP néerlandaise s'est établie comme l'une des autorités d'application les plus influentes d'Europe.
L'amende d'Uber : Ce que l'AP a trouvé
Uber a collecté des données personnelles des conducteurs néerlandais et français d'Uber — y compris des données de localisation, des communications, des documents d'identité, des dossiers de conduite et des informations fiscales. Ces données ont été transférées vers les serveurs d'Uber aux États-Unis sans mécanismes de transfert adéquats.
Les principales conclusions :
- Mécanisme de transfert inadéquat : Uber s'est appuyé sur des Règles d'Entreprise Contraignantes (BCR) que l'AP a jugées inadéquates pour le volume et la sensibilité des données personnelles des conducteurs transférées.
- Pas d'évaluation d'impact sur le transfert : Uber n'a pas effectué d'EIT démontrant que la législation américaine ne compromettait pas les protections de transfert.
- Les données des conducteurs sont sensibles : Les données de localisation, les données de revenus et les évaluations de performance — combinées — permettent une surveillance complète des conducteurs individuels. L'AP a classé cette combinaison comme équivalente à des données personnelles sensibles nécessitant une protection accrue.
L'amende de 290 millions d'euros est la plus grande amende pour violation de transfert transfrontalier dans l'histoire de l'application du droit de l'UE. Elle établit que les transferts de données personnelles des employés/contractuels vers les États-Unis nécessitent la même EIT rigoureuse et des mesures supplémentaires que les transferts de données des consommateurs.
Priorités d'application de l'AP néerlandaise en 2025
L'AP a publié ses domaines d'intervention prioritaires pour 2025 :
Surveillance des employés (43 % des cas) : La technologie de surveillance du travail à distance — suivi de la productivité, capture d'écran, enregistrement des frappes, suivi de la localisation des travailleurs à distance — reste la principale cible d'application de l'AP néerlandaise. L'AP exige une documentation de proportionnalité pour toute surveillance des employés : des alternatives moins intrusives doivent être envisagées et documentées avant la mise en œuvre de la technologie de surveillance.
Transferts de données transfrontaliers (31 % des cas) : Après l'affaire Uber, l'AP audite les mécanismes de transfert pour les entreprises néerlandaises ayant des opérations aux États-Unis, en Asie et dans des pays non adéquats. Les entreprises utilisant des outils SaaS américains pour les RH, la gestion de projet ou les données clients doivent disposer d'EIT à jour.
Prise de décision automatisée (26 % des cas) : Le scoring de crédit automatisé, le filtrage des candidatures basé sur des algorithmes et l'évaluation de performance pilotée par l'IA créent des obligations au titre de l'article 22. L'application de l'AP néerlandaise se concentre sur les organisations qui utilisent des décisions algorithmiques affectant les employés ou les consommateurs néerlandais sans mécanismes d'examen humain adéquats.
Le BSN : L'identifiant principal des Pays-Bas
Le Burgerservicenummer (BSN) est le numéro de service citoyen à 9 chiffres des Pays-Bas, utilisant l'algorithme de validation Elfproef (validation à 11 preuves).
L'Elfproef : multipliez chaque chiffre par un poids décroissant (9, 8, 7, 6, 5, 4, 3, 2, -1), additionnez les produits, et le résultat doit être divisible par 11.
Le BSN est l'un des identifiants les plus légalement protégés aux Pays-Bas — la loi sur le BSN (Wet algemene bepalingen burgerservicenummer) limite son utilisation à des contextes autorisés spécifiques (fiscalité, santé, services gouvernementaux, paie des employeurs). Les organisations qui traitent des BSN en dehors des contextes autorisés font face à des mesures d'application spécifiques de l'AP en vertu de la loi sur le BSN en plus du RGPD.
Le problème de détection : 56 % des outils NLP génériques échouent à valider correctement les numéros BSN (évaluation technique de l'AP). Sans mise en œuvre de l'Elfproef :
- Tout numéro à 9 chiffres est signalé comme un potentiel BSN — générant d'énormes faux positifs dans les documents financiers et administratifs.
- Les BSN transposés ou erronés (courants dans la saisie manuelle de données) sont manqués car ils échouent à l'Elfproef mais correspondent au format à 9 chiffres.
Exigences en matière de NER en néerlandais
Le néerlandais (Nederlands) a des caractéristiques linguistiques spécifiques pertinentes pour la détection de PII :
Mots composés : Le néerlandais compose largement des mots — "persoonsgegevens" (données personnelles), "Burgerservicenummer" (numéro de service citoyen). Les tokenizers NLP formés sur l'anglais ou d'autres langues analytiques tokenisent souvent incorrectement les composés néerlandais.
Diminutifs : Le néerlandais utilise fréquemment des formes diminutives (-je, -tje) pour les noms — "Annetje," "Hansje." Les modèles de reconnaissance de noms doivent gérer à la fois les formes de base et les diminutifs.
Formats d'adresse néerlandais : "Straat," "Laan," "Weg," "Plein," "Gracht" pour les types de rue. Format du code postal : 4 chiffres + 2 lettres (par exemple, 1234 AB). Les codes postaux néerlandais sont très spécifiques (rues individuelles) — plus identifiants que les codes postaux allemands ou britanniques.
Format IBAN NL : Les IBAN néerlandais commencent par NL + 2 chiffres de contrôle + code bancaire de 4 lettres + numéro de compte à 10 chiffres. Les Pays-Bas ont l'un des taux de pénétration des paiements sans contact les plus élevés d'Europe, ce qui signifie que les documents financiers néerlandais sont denses en numéros IBAN.
Pour la conformité avec l'AP néerlandaise : détection de BSN avec validation Elfproef, NER en néerlandais (spaCy nl_core_news), détection d'IBAN néerlandais, et gestion documentée des sous-traitants pour les transferts transfrontaliers sont la base technique. Après l'affaire Uber, les évaluations d'impact sur le transfert pour les relations avec les fournisseurs américains ne sont plus optionnelles — elles sont des cibles d'audit actives de l'AP.
Sources :