La CNIL condamne Uber à 400 000 euros d’amende pour ne pas avoir sécurisé les données des utilisateurs

La CNIL estime que Uber a fait preuve de laxisme au sujet des données personnelles de ses utilisateurs. 57 millions d’usagers ont vu leurs données piratées en octobre 2016. Uber devra donc payer une amende de 400 000 euros pour ses manquements.

uber amende cnil

Jeudi 20 Décembre, la Commission nationale de l’informatique et des libertés (CNIL) a sanctionné Uber d’une amende de 400 000 euros. En cause, des manquements au devoir de protection des données des utilisateurs. La CNIL estime qu’Uber a « insuffisamment sécurisé les données » ce qui a permis à des pirates de dérober les informations de 57 millions d’utilisateurs en octobre 2016, dont 1,4 million « situés sur le territoire français ».

Ce piratage avait été rendu public par Uber un an après sa détection. Intolérable pour la CNIL. Le G29, regroupant les CNIL européennes, avait lancé une enquête suite à l’annonce d’Uber. Les conclusions sont claires : Uber a fait preuve de laxisme. La CNIL explique :

Les attaquants ont tout d’abord réussi à accéder à des identifiants stockés en clair sur la plate-forme collaborative de développement “GitHub”. Ils ont ensuite utilisé ces identifiants pour accéder à distance à un serveur sur lequel sont stockées les données. Cette attaque n’aurait pu aboutir si certaines mesures élémentaires en matière de sécurité avaient été mises en place.

Selon la CNIL, Uber aurait pu mettre en place des mécanismes de sécurisation plus poussés. Les basiques n’y étaient même pas. La CNIL explique par exemple qu’Uber aurait pu imposser à ses ingénieurs de se connecter à GitHub « grâce à une mesure d’authentification forte » comme la double authentification. L’entreprise américaine a également commis l’erreur de stocker en clair les identifiants permettant d’accéder aux serveurs. Aucun filtrage des adresses IP n’a été mis en place pour accéder à ces serveurs.

Uber reconnaît ses erreurs et corrige le tir

Avec cette amende de 400 000 euros, Uber s’en sort plutôt bien. Les faits ayant eu lieu avant la mise en place de la RGPD, les sanctions sont plus légères. Si ce piratage était survenu après mai 2018, l’entreprise aurait pu écoper d’une amende correspondant à 4% de son chiffre d’affaires. Même si l’entreprise s’en sort bien, elle reconnaît ses erreurs et explique avoir déjà mis en place de nouvelles mesures de sécurité. Dans un email transmis au Monde, Uber explique :

Nous sommes heureux de clore ce chapitre sur l’incident de données de 2016. Nous avons apporté plusieurs améliorations techniques à la sécurité de nos systèmes et d’importants changements dans notre management afin d’assurer la transparence aux autorités régulatrices et aux clients. Nous tirons les leçons de nos erreurs et poursuivons notre engagement à gagner chaque jour la confiance de nos utilisateurs.

Ce n’est pas la première fois qu’Uber fait face à une telle affaire. En novembre 2018, l’entreprise écopait d’une amende de 600 000 euros aux Pays-Bas. En Grande-Bretagne, Uber a été sanctionné d’une amende de 385 000 livres soit 426 000 euros pour les mêmes raisons.

Réagissez à cet article !
Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !
Bug GPS du 6 avril 2019 : comment savoir si vous êtes concerné ?

Le 6 avril 2019, certains GPS connaîtront des dysfonctionnements à cause d’un bug lié au système de numérotation du calendrier des GPS. Ce phénomène se produit tous les 19,7 ans. Les GPS récents intègrent déjà un correctif, mais si vous…

Son iPhone bloque un tir de flèche et lui sauve la vie

Un Australien visé par un tir de flèche a été sauvé par son iPhone, qui a pris l’impact à sa place. Son agresseur, armé d’un arc, l’aurait touché à la poitrine sans la présence du mobile.  Le smartphone est un…

Coupure de BFM et RMC : Free dénonce l’attitude de SFR

Les chaînes BFM et RMC pourraient devenir indisponibles sur les Freebox à partir du 20 mars 2019. Free et Altice-SFR ne parviennent pas à se mettre d’accord. Le groupe de Patrick Drahi réclamerait 5 millions d’euros à Iliad pour avoir…