[ad_1]
L’entreprise américaine de VTC a été condamnée par la CNIL à une amende de 400.000 euros. L’amende aurait pu être bien plus lourde si les faits avaient été postérieurs à la mise en place de la RGPD.
La Commission nationale de l’informatique et des libertés (CNIL) a prononcé jeudi 20 décembre une sanction à l’encontre d’Uber. Le géant américain des transports particuliers devra s’acquitter d’une amende de 400 000 euros pour avoir « manqué à son obligation de sécurité des données personnelles ».
Les faits remontent à 2016. En novembre de cette année, la société prend connaissance d’un piratage massif sur un serveur contenant des données utilisateurs, survenu un mois plus tôt. Au total, 57 millions d’utilisateurs sont concernés, dont 1,4 million de français.
Données stockées « en clair »
Uber avait essayé d’étouffer l’affaire en offrant 100 000 euros aux pirates informatiques en échange de leur silence et de l’effacement de ces données. Las, l’information avait été rendue publique un an plus tard et le G29 (réunion des Cnil européennes) avait diligenté une enquête.
Les pirates avaient réussi à accéder aux identifiants pour se connecter au serveur, stockés sans cryptage sur une plateforme collaborative. La Cnil a donc estimé que le stockage en clair de ces identifiants n’aurait, dans un premier temps, pas dû avoir lieu et qu’en plus, l’accès à cette plateforme aurait dû être bien plus sécurisé.
Une amende de plus d’un million d’euros
Elle note aussi qu’Uber « aurait dû mettre en place un système de filtrage des adresses IP » pour l’accès au serveur contenant les données. Il est en effet possible d’empêcher certains appareils de se connecter en fonction de leur identité en ligne.
Le géant américain s’est déclaré « heureux » de clore ce chapitre et assure avoir pris d’importantes mesures pour remédier aux failles constatées.
La France est le troisième pays européen à lui infliger une amende, après les Pays-Bas (600 000 euros) et le Royaume-Uni (426 000 euros). En tout, c’est 1,426 million qui a été réclamé par l’UE.
La RGPD entre en action trop tard
L’addition est importante mais aurait pu être bien plus salée. La Cnil précise dans sa décision que les faits sont antérieurs à la mise en place du Règlement général sur la protection des données (RGPD), rentré en application le 25 mai 2018.
Selon ce texte, Uber, reconnu coupable d’une infraction grave liée à la sécurité des données, aurait pu devoir s’acquitter d’une amende équivalente à 4 % de son chiffre d’affaires mondial.
Celui-ci s’élève à 2,95 milliards de dollars au troisième trimestre 2018. Soit plus d’une centaine de millions d’euros d’amende au niveau européen. En septembre, les autorités américaines avaient conclu un accord avec leur champion à hauteur d’un peu moins de 130 millions d’euros.