BFM Business

Uber : amende record pour protection insuffisante des données personnelles

-

- - -

La Cnil a infligé 400.000 euros d’amende au géant suite au piratage massif des données de 57 millions de ses utilisateurs en 2017. Uber n’a pas appliqué des mesures « élémentaires » de sécurité.

C’est une sanction record de la part de la Cnil. La Commission informatique et libertés a en effet condamné Uber à hauteur de 400.000 euros pour avoir « insuffisamment sécurisé les données des utilisateurs » de son service.

Et la note aurait pu être bien plus salée car compte tenu de la date des faits, le RGPD (règlement pour la protection des données personnelles) n’était pas encore applicable. Rappelons que ce texte permet de condamner une entreprise jusqu’à 4% de son chiffre d’affaires. Pour Uber, cela aurait représenté 260 millions de dollars.

Mais au-delà de la sanction financière, c’est bien la publicité de cette condamnation qui fera mal à Uber. « Au regard du nombre très important de personnes concernées et de la nécessité de sensibiliser les opérateurs, la formation restreinte a par ailleurs décidé de rendre publique cette décision », explique la Commission.

Rappel des faits. En novembre 2017, le leader des VTC avait révélé que les données de 57 millions de ses utilisateurs, clients ou chauffeurs (dont 1,4 million de Français), avaient été piratées. Ils ont pu télécharger certains éléments comme les noms, adresses email et numéros de téléphone.

« Irresponsable »

Cerise sur le gâteau, Uber a cherché à dissimuler cette fuite massive (qui a en fait eu lieu en 2016) en versant 100.000 dollars aux pirates en échange de leur silence et de l’effacement des données compromises. Il faut préciser qu’à l’époque de l’incident, Uber était en pleine discussion avec la Federal Trade Commission au sujet de sa gestion des données utilisateurs.

Suite à son enquête, la Cnil a estimé que l'attaque aurait pu être évitée « si certaines mesures élémentaires en matière de sécurité avaient été mises en place ». Il est clairement établi que le géant a très mal protégé les données de ses clients et de ses chauffeurs.

Uber a plusieurs fois été condamné pour cette affaire dans le cadre d’une coordination des procédures au sein du G29, le groupe des Cnil européennes. Fin novembre, il a écopé d’une amende de 600.000 euros aux Pays-Bas et de 435.000 euros en Grande-Bretagne, surtout pour avoir tenté de cacher ce piratage.

Aux Etats-Unis, le groupe a conclu un accord à l’amiable avec les autorités afin d’éviter un long procès, en l’échange du versement de 148 millions de dollars.

Depuis la révélation de ce scandale, Uber tente de montrer patte blanche avec le départ de son fondateur controversé et ex-PDG, à l’origine de la dissimulation des faits, remplacé en 2017 par Dara Khosrowshahi.

« La réponse d'Uber a été irresponsable. En donnant de l'argent aux criminels, l'entreprise les encourage et établit un dangereux précédent. Avec les amendes imposées par le RGPD, il faut s'attendre à voir les cas de chantage se multiplier ; les cybers criminels pourraient alors faire pression sur les entreprises attaquées en demandant une somme inférieure aux amendes prévues, en échange de leur silence », commente David Emm, chercheur en cybersécurité chez Kaspersky Lab, éditeur de sécurité.

« Nous avons, suite à l'incident, tout comme dans les années qui ont suivi, apporté plusieurs améliorations techniques à la sécurité de nos systèmes. Nous avons également apporté d'importants changements dans notre management afin d'assurer la transparence aux autorités régulatrices et aux clients », a assuré jeudi une porte-parole d'Uber.

Olivier CHICHEPORTICHE