La Cnil condamne Uber

Une amende de 400 000 euros a été prononcée contre Uber lequel a porté atteinte à la sécurité de ses utilisateurs il y a deux ans. En 2016, les données de 57 millions d’usagers européens, dont 1,2 million situés en France, avaient été piratées. Uber avait négocié avec les auteurs du délit afin de les effacer et n’en avait informé le grand public qu’en 2017. L’enquête menée par un groupe de travail réunissant les différentes autorités de protection des données européennes (G29) a permis de comprendre comment le piratage s'était déroulé. Github, une plateforme collaborative de développement, détenait les identifiants d’un serveur de stockage de données. Les pirates se sont saisis de ces identifiants afin d’accéder au serveur où étaient conservées les données des utilisateurs. La Cnil estime que si, au sein du groupe, certaines précautions avaient été prises pour mieux protéger ces données personnelles, l’attaque n’aurait pas été possible. Une mesure de double authentification aurait dû être requise pour accéder à Github et les identifiants permettant d’accéder au serveur n’auraient pas dû y être stockées.

Dans la même affaire, d’autres autorités européennes de protection des données ont prononcé des sanctions contre le groupe. Aux Pays-Bas, Uber a été condamné à une amende de 600 000 euros pour manquement à l’obligation de notification de violation des données, tandis qu’au Royaume-Uni, la sanction infligée a été de 385 000 livres sterling. Le règlement général sur la protection des données prévoit des sanctions plus lourdes, mais n’était pas applicable à la date des faits.

Uber assure avoir amélioré son dispositif technique et empêché les accès non autorisés aux données personnelles de ses usagers. Le groupe affirme également avoir garanti une meilleure transparence dans ses relations avec les autorités régulatrices.

Maeva Kpadonou (@KpadonouMaeva)