Un million quatre cent mille Français furent touchés par la fuite de données subie par l’entreprise Uber. Lors de cette attaque qui avait mis en péril la sécurité des données de ses clients, l’entreprise avait d’abord caché aux pouvoirs publics la fuite, avant d’être rattrapée par la presse en novembre 2017. La dissimulation de l’attaque, puis la négociation avec les criminels pour étouffer l’affaire, avaient conduit de nombreux états à engager des procédures légales contre Uber. En outre, les enquêteurs mirent en lumière des lacunes sérieuses dans la sécurité offerte par Uber à ses utilisateurs.
À la fin novembre 2017, le G29, regroupement des CNIL européennes, lançait à la suite de la justice américaine un groupe de travail commun pour traiter à l’échelle du continent le dossier Uber. Ce dernier, qui a réuni des experts français, néerlandais, espagnols, belges, britanniques et slovaques, a adressé à Uber un questionnaire précis sur les conditions de l’attaque. Cette enquête a confirmé les circonstances mises en lumière par les médias : le stockage en clair et en ligne du mot de passe conduisant à la base de données d’Uber.
L’obligation d’assurer la sécurité et la confidentialité des données
En France, la CNIL s’était engagée à défendre les utilisateurs français. Elle retient aujourd’hui contre Uber France une sanction importante : 400 000 euros. Une amende qui suit celle infligée par le Royaume-Uni (430 000 euros), et les autorités allemandes (600 000 euros).
La CNIL indique dans sa délibération du 19 décembre dernier qu’elle sanctionne la filiale française de la startup franciscanaise selon les services et liens entre cette dernière et le responsable effectif du traitement des données, la maison mère américaine. D’autres pays européens ont engagé eux aussi des procédures contre les filiales nationales d’Uber plutôt que de poursuivre via la justice américaine la firme.
«un incident isolé attribuable à une erreur humaine »
En fin de compte, la CNIL a concentré son accusation sur le manquement à l’obligation d’assurer la sécurité et la confidentialité des données. Uber a reconnu que les informations nécessaires pour s’introduire sur sa base de données ont été laissées en clair dans du code source en ligne — «un incident isolé attribuable à une erreur humaine » selon la firme.
L’application Uber. Flickr/CC/Mark Warner
Néanmoins, pour réduire son amende, la société a mis en avant avec un zèle certain son attitude au moment des faits : « [la société considère que] elle a réagi promptement en prenant les mesures nécessaires afin de limiter l’impact de la violation, qu’elle a communiqué l’existence de la violation au public, que la violation n’a causé aucun préjudice » peut-on lire dans la délibération.
Des arguments qui n’ont pas convaincu — et qui aurait pu être questionnés puisque l’entreprise a attendu 12 mois avant de révéler l’incident au public, sous la contrainte d’un article du Bloomberg — et qui ont laissé la formation restreinte de la CNIL décider d’une amende considérable contre la filiale.
CC European Parliament
Aux États-Unis, la justice a exigé plus de 140 millions de dollars à la firme à travers tous les procès intentés par les différents états américains. Outre-Atlantique, les délits retenus furent souvent la dissimulation de la fuite et l’entente avec les criminels comme en Californie où le procureur Xavier Beccera a dénoncé la « flagrante violation de la confiance du public » d’Uber. Retenons que si l’appareil judiciaire américain s’est montré plus dur avec cette dissimulation, le RGPD, règlement européen de la protection des données, adopté après l’affaire Uber, permettrait aujourd’hui les mêmes poursuites en Europe et une amende encore plus importante.
Nouveauté : Découvrez
La meilleure expérience de Numerama, sans publicité,
+ riche,
+ zen,
+ exclusive.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !
