A la fin de l’année 2016, Uber a fait l’objet d’une attaque informatique conduisant au vol des données personnelles de 57 millions d’utilisateurs de ses services. Afin que les attaquants détruisent les données et ne révèlent pas cet incident, Uber a accepté de leur verser la somme de 100.000$- sans toutefois qu’aucune garantie ne puisse évidemment lui être donnée.
Ce n’est qu’un an plus tard que la société a officiellement informé les autorités de protection des données personnelles de ce vol de données, et accepté de coopérer avec elles.
En ce qui concerne la partie française, elle s’est vue imposer une sanction de 400.000€ pour ce qui relève d’une rare suite de négligences à la suite d’une délibération rendue à la fin du mois de décembre 2018 (délibération de la formation restreinte n° SAN-2018-011 du 19 décembre 2018).
Ainsi,
- les ingénieurs d’Uber procédaient à des développements sur la plateforme publique Github, sur laquelle ils accédaient par un nom d’utilisateur et un mot de passe définis par eux-mêmes et sans recourir, alors que la plateforme le permet, à une authentification multifacteur (par exemple, l’envoi d’un code par SMS);
- à tout le moins l’un de ses salariés a laissé figurer en clair, dans un fichier code, les identifiants permettant d’accéder aux serveurs de la société (alors pourtant qu’elle ne manque pas d’indiquer à ses utilisateurs de ne jamais laisser leurs identifiants et mots de passe en clair dans un fichier);
- malgré tout cela, et alors que les données de millions d’utilisateurs sont en jeu, Uber n’a pas développé les précautions nécessaires – telles qu’un filtrage des adresses IP – pour protéger l’accès à ses serveurs.
C’est donc aux termes de l’article 45 de la loi du 6 janvier 1978 (dans sa version applicable aux faits, puisqu’elle a été modifiée depuis par la loi n°2018-493 du 20 juin 2018) que la formation restreinte de la CNIL lui impose une sanction de 400.000€, et décide de rendre publique sa délibération.
Au-delà de la sanction et des faits, éclairants, qui viennent rappeler à toute entreprise qui traite des données personnelles – ce qui tend à devenir la situation ordinaire – qu’il est de sa responsabilité d’en assurer la sécurité, la délibération procède à quelques rappels intéressants.
Ainsi, sur la qualité de responsable du traitement, la CNIL considère que « la gestion des conséquences de la violation des données n’est pas une simple question technique ou d’organisation qui peut entièrement relever de la marge de manœuvre dont dispose un sous-traitant » et que « le responsable du traitement ne peut [en] être dessaisi« . Elle relève aussi plusieurs éléments factuels pour juger que l’entité Uber Technologies INC. doit être qualifiée de responsable de traitements : la rédaction de documents clés relatifs à la gestion des données personnelles, la formation des nouveaux employés du groupe, la conclusion de contrats avec des sociétés tierces fournissant des outils essentiels au fonctionnement du service notamment pour la gestion des campagnes marketing.
Enfin, si le montant de 400.000€ apparaissait modéré à certains, il faut y ajouter les sanctions déjà prononcées pour les mêmes faits vis-à-vis de leurs propres citoyens par d’autres autorités nationales : 600.000€ par l’autorité néerlandaise et 426.000€ par l’autorité britannique, d’autres sanctions pouvant encore être prononcées
The comments are closed.
Aucun commentaire