Rappel de la violation de donées
En effet, en fin de l’année 2016, il s’avéra que les données personnelles d’environ 57 millions d’utilisateurs, dont 1,4 millions en France ont été piratées. Ainsi, leurs noms, leurs adresses mails ainsi que leurs numéro téléphoniques ont été dérobées par des hackers en s’introduisant dans un serveur cloud exploité par Uber afin de télécharger l’ensemble de ces informations.
Face à l’ampleur de la situation, aucun utilisateur n’avait été averti que leurs données avaient été volées et, pire encore il s’avérait que Travis Kalanick, l’ancien dirigeant de Uber, avait versé aux hackers une somme de 100 000 dollars afin qu’ils ne révèlent pas l’existence de ce piratage et qu’ils détruisent toutes les données qui ont été dérobées.
Ce n’est alors qu’en novembre 2017 que Dara Khosrowshahi, le successeur de Travis en tant que dirigeant de la société Uber, a révélé l’existence de cette violation de données
L’enquête par les autorités de contrôle
Dès lors, à la suite de ces révélations, le G29 (qui est le regroupement des CNIL européennes) ont commencé à investiguer sur ces évènements. Les résultats de l’enquête ont montré que “Les attaquants ont tout d’abord réussi à accéder à des identifiants stockés en clair sur la plateforme collaborative de développement Github. Ils ont ensuite utilisé ces identifiants pour accéder à distance à un serveur sur lequel sont stockées les données.”
Il fut ainsi révélé que l’attaque aurait pu être évité sur “certaines mesures élémentaires en matière de sécurité avaient été mises en place”, notamment en :
Mettant en place d’une mesure d’authentification forte pour se connecter à la plateforme collaborative de développement Github
S’assurant que des identifiants n’aparaissent pas dans le code source de la plateforme Github
Mettant en place un système de filtrage des adresses IP au regard de l’accès aux serveurs.
La multiplication de sanctions contre Uber
Au regard de ces faits, la CNIL a alors décidé de sanctionner Uber car celle-ci aurait pu éviter qu’un tel piratage ne se produise. À noter que la sanction n’est pas soumise au Règlement Général sur la Protection des Données (RGPD) puisque les faits en l’espèce sont arrivés avant l’entrée en vigueur de ce Règlement européen. Il est alors possible de présumer que la sanction aurait pu être beaucoup plus forte étant donné la gravité de la violation de données constatée.
Néanmoins, cette amende n’est pas la seule sanction auquelle la société Uber doit faire face puisque les autorités de contrôle des autres pays européens l’ont également sanctionné, comme l’autorité néelandaise de protection des données qui a condamné Uber à payer une amende de 600 000 euros. Ainsi, l’amende cumulée
L’Europe ne fut également pas la seule à réprimender Uber puisqu’aux États-Unis, la société a dû payer une lourde somme d’un montant de 148 millions de dollars ce qui représente l’amende la plus élevée dans le cadre d’un accord relatif à une violation de données.
Sources :
Site officiel de la CNIL
Legifrance.gouv.fr