anonym.legal
Retour au blogGDPR & Conformité

AP néerlandais : L'amende de 290 millions d'euros d'Uber et pourquoi les transferts de données transfrontaliers sont la priorité d'application d'Amsterdam

L'AP néerlandais a infligé la plus grande amende individuelle pour transfert de données de l'UE — 290 millions d'euros contre Uber en 2024. Voici ce que la conformité aux transferts transfrontaliers exige des organisations basées aux Pays-Bas.

March 7, 20267 min de lecture
Dutch APNetherlands GDPRUber GDPR finecross-border data transferEU data transfer

L'AP néerlandais et le précédent Uber

L'Autoriteit Persoonsgegevens (AP) néerlandaise a établi le précédent d'application des transferts de données le plus significatif de l'UE en août 2024 : une amende de 290 millions d'euros contre Uber Technologies pour le transfert non autorisé des données personnelles des conducteurs européens vers des serveurs aux États-Unis.

L'action d'application contre Uber a impliqué :

  • Données des conducteurs européens (licences de taxi, vérifications des antécédents criminels, dossiers médicaux, historiques de voyage) stockées sur des serveurs basés aux États-Unis
  • Transfert de données après que le Privacy Shield UE-États-Unis a été invalidé par Schrems II (juillet 2020)
  • Poursuite des transferts sans mise en œuvre des Clauses Contractuelles Types ou d'autres garanties de l'article 46 du RGPD pendant environ deux ans après Schrems II

L'amende de 290 millions d'euros est la plus élevée de l'UE pour des violations de transfert de données et la troisième amende la plus élevée au total en vertu du RGPD. Elle établit que les violations de transfert transfrontalier — pas seulement les violations de données — entraînent des conséquences financières catastrophiques.

La structure de priorité d'application de l'AP néerlandais

L'AP néerlandais a reçu plus de 21 400 plaintes RGPD en 2023, déployant des ressources d'application selon une matrice de priorités publiée. Les trois catégories de priorité :

Priorité 1 — Surveillance des employés (43 % des cas d'application) : Les entreprises basées aux Pays-Bas ont reçu des actions d'application répétées de l'AP pour la surveillance des employés : surveillance clandestine, surveillance disproportionnée des e-mails et suivi de géolocalisation sans avis adéquat. Le droit du travail néerlandais (Arbeidstijdenwet) offre une protection supplémentaire au-delà du RGPD.

Priorité 2 — Transferts de données transfrontaliers (31 % des cas d'application) : Suite à Uber et à la co-enquête de l'AP néerlandais avec le DPC irlandais sur Cloudflare (2023), l'AP a accru son attention sur la conformité aux transferts de données. La concentration du hub technologique d'Amsterdam — en particulier les services cloud, la fintech et les scale-ups — crée une forte exposition pour les organisations transférant des données vers des pays non membres de l'UE.

Priorité 3 — Marketing et profilage comportemental (26 % des cas d'application) : Consentement aux cookies, publicité comportementale et conformité au marketing direct. Les directives de l'AP néerlandais sur "l'intérêt légitime" pour le marketing sont plus strictes que certains équivalents de l'UE — l'AP exige des tests d'équilibre documentés avec des preuves spécifiques que l'intérêt légitime l'emporte sur les droits des personnes concernées.

Exigences de transfert transfrontalier après Uber

L'application contre Uber établit des exigences pratiques pour les organisations transférant des données personnelles depuis les Pays-Bas :

Évaluations d'impact des transferts (TIAs) : Après Schrems II, le CEPD exige des TIAs pour tous les transferts vers des pays tiers, évaluant si les protections juridiques dans le pays de destination sont "essentiellement équivalentes" aux protections de l'UE. Les directives post-Uber de l'AP néerlandais précisent que les TIAs doivent évaluer :

  • Les lois d'accès gouvernemental du pays de destination
  • Les capacités des services de renseignement dans le pays de destination
  • Les antécédents des demandes gouvernementales auprès de l'importateur de données
  • Les recours juridiques disponibles pour les personnes concernées

Clauses contractuelles types (CCT) — pas suffisantes seules : La note d'application de l'AP concernant Uber clarifie que les CCT seules ne satisfont pas à l'article 46 lorsque la TIA révèle que la loi du pays de destination permet l'accès gouvernemental aux données transférées. Des mesures techniques supplémentaires sont requises lorsque les CCT sont insuffisantes.

Mesures techniques supplémentaires acceptées par l'AP néerlandais :

  • Chiffrement lorsque l'importateur de données ne détient pas les clés de déchiffrement
  • Pseudonymisation avant le transfert (remplacement d'identifiant) lorsque la ré-identification n'est pas possible par l'importateur de données
  • Minimisation des données avant le transfert (suppression des catégories de données non nécessaires à l'importateur)

L'architecture de l'application de bureau hors ligne — traitant toutes les données localement, sans jamais les transmettre à des serveurs — élimine complètement la question du transfert transfrontalier pour cette activité de traitement.

Données des employés et droit du travail néerlandais

La part de 43 % de l'application de la surveillance des employés par l'AP néerlandais reflète l'interaction entre le RGPD et le droit du travail néerlandais (Wet bescherming persoonsgegevens arbeidsverhoudingen — la loi sur la protection des données dans les relations de travail).

Exigences clés néerlandaises pour les données des employés :

  • Consultation du comité d'entreprise : Les organisations néerlandaises avec des comités d'entreprise (Ondernemingsraad) doivent consulter le comité d'entreprise avant de mettre en œuvre tout système de surveillance des employés. Cela inclut la surveillance des performances par IA, la surveillance des communications et les systèmes de présence.
  • Évaluation de la proportionnalité : La surveillance des employés doit être strictement proportionnelle à l'objectif déclaré. La surveillance clandestine est généralement interdite ; la surveillance ouverte doit être la méthode la moins intrusive disponible.
  • Limitation du traitement : Les données des employés collectées pour un objectif RH ne peuvent pas être réutilisées pour un autre objectif RH sans nouvelle base légale.

Pour les organisations ayant leur siège aux Pays-Bas ou employant du personnel néerlandais, ces exigences créent des besoins spécifiques en documentation technique : le dossier de consultation du comité d'entreprise, le document d'évaluation de la proportionnalité et les contrôles de limitation du traitement.

Détection de PII spécifique aux Pays-Bas

Pour les outils de PII déployés aux Pays-Bas, une détection d'entité spécifique aux Pays-Bas est requise :

  • Burger Service Nummer (BSN) : Numéro d'identité national néerlandais (9 chiffres) — utilisé pour les impôts, les soins de santé, les services sociaux
  • IBAN Pays-Bas (préfixe NL) : Format IBAN néerlandais avec validation spécifique
  • Codes postaux néerlandais (postcode) : Format : 4 chiffres + espace + 2 lettres
  • DigiD néerlandais : Identifiant du système d'identité numérique gouvernemental
  • Numéros de santé néerlandais : Formats d'identifiant BGZ/EP pour les dossiers électroniques des patients

Les outils de PII globaux standard peuvent détecter des formats d'IBAN génériques mais peuvent ne pas valider le contrôle de somme de BSN néerlandais ou détecter le format de code postal néerlandais. Les organisations traitant des données d'identité nationale néerlandaise devraient vérifier la couverture de détection du BSN.

Approche de conformité pour les organisations néerlandaises

Pour les organisations ayant leur siège aux Pays-Bas :

1. Audit des transferts transfrontaliers :

  • Cartographier tous les flux de données des Pays-Bas vers des pays tiers
  • Identifier toutes les CCT en place et leur couverture
  • Réaliser ou mettre à jour des TIAs pour des flux de transfert significatifs
  • Documenter les mesures techniques supplémentaires pour les transferts où la TIA révèle un risque

2. Revue de la surveillance des employés :

  • Inventorier tous les systèmes de surveillance des employés (y compris les outils d'IA)
  • Vérifier les dossiers de consultation du comité d'entreprise
  • Confirmer que les évaluations de proportionnalité sont documentées

3. Couverture de PII spécifique aux Pays-Bas :

  • Vérifier la détection de BSN dans les outils de PII déployés
  • Vérifier la détection des codes postaux néerlandais et des IBAN
  • Tester l'exactitude de la NER en néerlandais pour les documents en néerlandais

4. Exposition du hub technologique d'Amsterdam :

  • Pour les startups et les scale-ups : documenter les décisions d'architecture des données qui minimisent le transfert transfrontalier (services cloud dans la région UE, options de traitement local)
  • Pour les fournisseurs de services cloud avec une architecture UE-États-Unis : documenter les mécanismes de transfert et la méthodologie de TIA

Sources :

Articles connexes

GDPR & Conformité

Japan PPC: My Number Verhoeff Validation and Japanese-Language PII Detection for APPI Compliance

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia. Japanese script NER requires dedicated language models.

GDPR & Conformité

HDPA Greece: AFM and AMKA Detection — Why Greek Identifiers Fail in 52% of Generic NLP Tools

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct compliance requirements. Greek alphabet NER requirements.

GDPR & Conformité

NAIH Hungary: TAJ-Szám, Adóazonosító Jel, and Why Hungarian NER Accuracy Trails the EU Average

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps. NAIH requires DPIA for all AI systems processing personal data.

Prêt à protéger vos données ?

Commencez à anonymiser les PII avec plus de 285 types d'entités dans 48 langues.

Commencer l'essai gratuitVoir les fonctionnalités