anonym.legal

By · Last updated 2026-06-05

Retour au blogGDPR & Conformité

AP néerlandais : L'amende de 290 millions d'euros...

L'AP néerlandais a infligé la plus grande amende individuelle pour transfert de données de l'UE — 290 millions d'euros contre Uber en 2024.

June 5, 20267 min de lecture
Dutch APNetherlands GDPRUber GDPR finecross-border data transferEU data transfer

L'AP Néerlandaise et l'Amende Uber

En août 2024, l'Autoriteit Persoonsgegevens (AP) néerlandaise a infligé à Uber une amende de 290 millions d'euros. Uber avait transféré des données de chauffeurs européens vers des serveurs américains sans base légale. Ces données comprenaient des licences de taxi, des vérifications d'antécédents judiciaires, des dossiers médicaux et des historiques de trajets.

Uber a déplacé ces données après que Schrems II a invalidé le Privacy Shield UE-États-Unis en juillet 2020. Les transferts ont continué pendant deux ans. Pas de clauses contractuelles types. Aucun mécanisme de l'article 46.

Cette amende est la plus élevée dans l'UE pour une violation de transfert de données. Elle se classe troisième parmi toutes les amendes RGPD. Les manquements aux transferts ont désormais un coût élevé. Pas seulement les violations de données.

Consultez notre guide de conformité RGPD pour un aperçu rapide.

Priorités d'action de l'AP

L'AP a reçu plus de 21 400 plaintes RGPD en 2023. Elle se concentre sur trois domaines.

Priorité 1 — Surveillance des employés (43 % des cas) : De nombreuses entreprises néerlandaises ont reçu des amendes pour avoir surveillé leurs salariés. Caméras cachées, contrôles massifs d'e-mails et tracking GPS sans notification déclenchent des mesures. Le droit du travail néerlandais ajoute des règles supplémentaires au-delà du RGPD.

Priorité 2 — Transferts transfrontaliers (31 % des cas) : Après l'amende Uber et une enquête conjointe avec la DPC irlandaise sur Cloudflare (2023), l'AP a renforcé son contrôle des transferts. Le secteur tech d'Amsterdam est fortement exposé. Entreprises cloud, fintech et startups à forte croissance sont toutes concernées.

Priorité 3 — Marketing et profilage (26 % des cas) : Cela couvre le consentement aux cookies, le ciblage publicitaire et le marketing direct. L'AP adopte une position stricte sur « l'intérêt légitime ». Elle exige des tests écrits avec des preuves claires.

Règles de transfert après Uber

Évaluations d'impact sur les transferts (TIA) : L'EDPB exige une TIA pour tout transfert vers un pays tiers. La TIA doit montrer que le pays de destination offre une protection équivalente au droit européen. L'AP dit qu'une TIA doit répondre à quatre questions :

  • Quelles sont les lois d'accès des autorités dans le pays de destination ?
  • Quelle est la portée des services de renseignement ?
  • Quel est l'historique des demandes gouvernementales auprès de l'importateur de données ?
  • Quels recours juridiques les personnes concernées peuvent-elles exercer ?

Clauses contractuelles types — pas suffisantes seules : Les CCT seules ne satisfont pas l'article 46 si la TIA révèle un risque d'accès gouvernemental. Des garanties supplémentaires sont alors requises.

Mesures techniques supplémentaires acceptées par l'AP :

  • Chiffrement où l'importateur n'a pas accès aux clés de déchiffrement
  • Suppression des identifiants directs avant le transfert pour que l'importateur ne puisse pas relier les données à une personne
  • Réduction des données avant le transfert, en supprimant les champs dont l'importateur n'a pas besoin

L'application Desktop hors ligne fonctionne entièrement sur votre appareil. Elle n'envoie aucune donnée à l'extérieur. Cela élimine la question du transfert pour cette activité. Voir notre aperçu sécurité et conformité.

Données des Employés et Droit du Travail Néerlandais

Le fait que 43 % des actions de l'AP concernent la surveillance des employés montre comment le RGPD et le droit du travail néerlandais se croisent.

Trois règles s'appliquent aux organisations basées aux Pays-Bas :

Accord du comité d'entreprise : Une entreprise dotée d'un comité d'entreprise (Ondernemingsraad) doit obtenir son accord avant de déployer tout outil de surveillance. Cela couvre les outils IA, les contrôles d'e-mails et les systèmes de présence.

Proportionnalité : La surveillance doit correspondre à son objectif déclaré. La surveillance cachée n'est pas autorisée. La surveillance ouverte doit être l'option la moins intrusive.

Limitation des finalités : Les données RH collectées pour un objectif ne peuvent pas être utilisées pour un autre. Une nouvelle base légale est nécessaire.

Ces règles exigent trois documents : l'accord du comité, le contrôle de finalité et les mesures de contrôle. Notre liste de contrôle conformité couvre les trois.

Détection PII aux Pays-Bas

Les outils PII aux Pays-Bas doivent gérer les formats d'identifiants locaux. Les outils globaux standard les manquent souvent :

  • BSN (Burger Service Nummer) : Identifiant national néerlandais à 9 chiffres — nécessite une validation par somme de contrôle
  • IBAN (préfixe NL) : IBAN néerlandais avec sa propre logique de validation
  • Code postal (postcode) : Format : 4 chiffres + espace + 2 lettres
  • DigiD : Code d'identité numérique gouvernemental
  • Numéros de santé : Formats BGZ et EP pour les dossiers patients

Un outil générique peut détecter l'IBAN mais rater la somme de contrôle BSN ou le format de code postal. Testez la détection BSN avant de traiter des données d'identité nationale. Ne supposez pas une couverture complète.

Étapes pour les Organisations Néerlandaises

1. Audit des transferts : Lister tous les flux de données vers des pays tiers. Vérifier les CCT en place. Réaliser des TIA pour les flux clés. Documenter les mesures techniques supplémentaires là où une TIA signale un risque.

2. Examen de la surveillance des employés : Lister tous les outils de surveillance, y compris IA. Vérifier les accords du comité d'entreprise. Confirmer que les contrôles de finalité existent par écrit.

3. Contrôle de couverture PII : Tester la détection BSN, code postal et IBAN dans vos outils PII. Tester la précision sur des documents en néerlandais.

4. Exposition du secteur tech : Les startups doivent documenter les choix qui réduisent le risque de transfert — cloud en zone UE et options de traitement local. Les fournisseurs avec des configurations EU-US doivent documenter leurs outils de transfert et leur approche TIA.

anonym.legal utilise des centres de données Hetzner basés dans l'UE avec une conception zéro-connaissance. Le serveur ne voit jamais votre contenu en clair. Une violation complète du serveur ne donne accès qu'à du texte chiffré AES-256-GCM. Besoin d'un traitement local ? L'application Desktop fonctionne entièrement sur votre appareil sans connexions externes.

Sources

Articles connexes

GDPR & Conformité

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Conformité

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Conformité

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Prêt à protéger vos données ?

Commencez à anonymiser les PII avec plus de 285 types d'entités dans 48 langues.

Commencer l'essai gratuitVoir les fonctionnalités

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.