BFM Business

Violation de données: la Cnil inflige 400.000 euros d'amende à Uber

Des pirates avaient réussi à télécharger des données relatives à 57 millions d’utilisateurs, dont 1,4 millions situés en France.

Des pirates avaient réussi à télécharger des données relatives à 57 millions d’utilisateurs, dont 1,4 millions situés en France. - Etienne Laurent-AFP

La Commission informatique et libertés (Cnil) a mis à l'amende Uber pour défaut de sécurisation des données personnelles de ses clients et chauffeurs. La sanction de 400.000 euros suit une large fuite de données datée de fin 2016 et révélée seulement en novembre 2017. En France, 1,4 million d'utilisateurs avaient été concernés.

Il a fallu un an entre la révélation en novembre 2017 par Uber d'un piratage de données personnelles de 57 millions d’utilisateurs de ses services et la condamnation de la société de VTC par plusieurs autorités européennes. Après avoir reçu deux amendes totalisant un million d'euros des autorités néerlandaise et britannique de protection des données, la CNIL prononce une sanction de 400.000 euros à l’encontre d'Uber "pour avoir insuffisamment sécurisé les données des utilisateurs de son service de VTC". Environ 1,4 million d'utilisateurs de la plateforme (chauffeur, client) situés sur le territoire français avaient été concernés par ce piratage informatique.

Uber a dû payer 148 millions de dollars aux États-Unis

Uber avait en réalité été informé de ce piratage dès novembre 2016, par les pirates eux-mêmes. La firme leur avait alors donné 100.000 dollars pour qu'ils ne le révèlent pas et effacent les données dérobées. Cible de diverses procédures après ce piratage, Uber avait conclu en septembre dernier un accord à l'amiable de 148 millions de dollars (129 millions d'euros) avec les autorités américaines. Il s'agissait de l'amende la plus importante jamais infligée dans le cadre d'un accord relatif à une violation de données.

Après une enquête coordonnée au niveau européen, la formation restreinte de la CNIL a estimé que "cette attaque n’aurait pu aboutir si certaines mesures élémentaires en matière de sécurité avaient été mises en place". Selon la Commission, Uber n’aurait notamment pas dû stocker en clair des identifiants permettant d’accéder au serveur sur la plateforme informatique de développement de logiciel qu'elle utilisait.

Si le règlement RGPD s'était appliqué, l'amende aurait été plus lourde

Dans ces conditions, la CNIL a estimé que "la société avait manqué à son obligation de sécurité des données personnelles". La CNIL fait remarquer que compte tenu de la date des faits, le RGPD (règlement général sur la protection des données) en vigueur depuis le 25 mai 2018, n’était pas encore applicable. Cette réglementation prévoit notamment que les entreprises ayant constaté un piratage de leurs données ont au maximum 72 heures pour le déclarer à la CNIL.

Dans le cas d’infractions graves liées à la mauvaise application ou au non-respect du RGPD, une amende variant entre 2 et 4 % du chiffre d’affaires mondial s’agissant des entreprises multinationales peut leur être infligée. Uber l'a donc échappé belle car les sanctions en Europe auraient pu être beaucoup plus lourdes.

Frédéric Bergé