Troisième amende européenne pour Uber pour manque de protection des données personnelles

Uber est sanctionné pour n'avoir pas fait suffisamment dans la protection des données de ses utilisateurs.

L’entreprise américaine de VTC a été condamnée par la CNIL à une amende de 400.000 euros. L’amende aurait pu être bien plus lourde si les faits avaient été postérieurs à la mise en place de la RGPD.

La Commission nationale de l’informatique et des libertés (CNIL) a prononcé jeudi 20 décembre une sanction à l’encontre d’Uber. Le géant américain des transports particuliers devra s’acquitter d’une amende de 400 000 euros pour avoir « manqué à son obligation de sécurité des données personnelles ».

Les faits remontent à 2016. En novembre de cette année, la société prend connaissance d’un piratage massif sur un serveur contenant des données utilisateurs, survenu un mois plus tôt. Au total, 57 millions d’utilisateurs sont concernés, dont 1,4 million de français.

Être propriétaire de ses données personnelles, une dangereuse illusion

Des sites internet aux objets connectés, les données personnelles ont envahi notre quotidien. Objets de convoitise, ces informations seraient le pétrole du XXIe siècle, précieux et lucratif. Un article de notre partenaire La Tribune

Données stockées « en clair »

Uber avait essayé d’étouffer l’affaire en offrant 100 000 euros aux pirates informatiques en échange de leur silence et de l’effacement de ces données. Las, l’information avait été rendue publique un an plus tard et le G29 (réunion des Cnil européennes) avait diligenté une enquête.

Les pirates avaient réussi à accéder aux identifiants pour se connecter au serveur, stockés sans cryptage sur une plateforme collaborative. La Cnil a donc estimé que le stockage en clair de ces identifiants n’aurait, dans un premier temps, pas dû avoir lieu et qu’en plus, l’accès à cette plateforme aurait dû être bien plus sécurisé.

Une amende de plus d’un million d’euros

Elle note aussi qu’Uber « aurait dû mettre en place un système de filtrage des adresses IP » pour l’accès au serveur contenant les données. Il est en effet possible d’empêcher certains appareils de se connecter en fonction de leur identité en ligne.

Le géant américain s’est déclaré « heureux » de clore ce chapitre et assure avoir pris d’importantes mesures pour remédier aux failles constatées.

Uber sanctionné pour avoir laissé fuiter des données

Le géant mondial des chauffeurs privés Uber s’est vu infliger des amendes par les autorités de protection des données britanniques et néerlandaises. Des hackers avaient eu accès aux informations personnelles d’environ 50 millions d’utilisateurs dans le monde.

 

 

La France est le troisième pays européen à lui infliger une amende, après les Pays-Bas (600 000 euros) et le Royaume-Uni (426 000 euros). En tout, c’est 1,426 million qui a été réclamé par l’UE.

La RGPD entre en action trop tard

L’addition est importante mais aurait pu être bien plus salée. La Cnil précise dans sa décision que les faits sont antérieurs à la mise en place du Règlement général sur la protection des données (RGPD), rentré en application le 25 mai 2018.

La cybercriminalité s’engouffre dans les failles du RGPD

Les nouvelles lois de protection de données de l’UE risquent d’entrainer une hausse de la cyber-extorsion, alerte un rapport de l’agence européenne de police criminelle.

Selon ce texte, Uber, reconnu coupable d’une infraction grave liée à la sécurité des données, aurait pu devoir s’acquitter d’une amende équivalente à 4 % de son chiffre d’affaires mondial.

Celui-ci s’élève à 2,95 milliards de dollars au troisième trimestre 2018. Soit plus d’une centaine de millions d’euros d’amende au niveau européen. En septembre, les autorités américaines avaient conclu un accord avec leur champion à hauteur d’un peu moins de 130 millions d’euros.

Subscribe to our newsletters

Subscribe

Envie de savoir ce qu'il se passe ailleurs en Europe? Souscrivez maintenant à The Capitals.