Uber sanctionné pour avoir laissé fuiter des données

Logo Uber sur un téléphone portable dans le centre de Londres. [EPA-EFE/WILL OLIVER]

Le géant mondial des chauffeurs privés Uber s’est vu infliger des amendes par les autorités de protection des données britanniques et néerlandaises. Des hackers avaient eu accès aux informations personnelles d’environ 50 millions d’utilisateurs dans le monde.

Le bureau du commissaire à l’information du Royaume-Uni (ICO) a infligé à Uber une amende de 385 000 livres sterling (435 000 euros) le 27 novembre pour ne pas avoir protégé les données des clients après que les informations personnelles d’environ 2,7 millions d’utilisateurs britanniques aient été consultées illégalement.

Mardi également, l’autorité néerlandaise de protection des données (DPA) a infligé à l’entreprise des sanctions d’un montant de 600 000 euros pour des infractions qui ont touché 174 000 personnes dans le pays.

« Il s’agit non seulement d’un grave manquement à la sécurité des données de la part d’Uber, mais aussi d’un mépris total pour les clients et les conducteurs dont les informations personnelles ont été volées », a déclaré Steve Eckersley, directeur des enquêtes de l’ICO, dans un communiqué publié le mardi 27 novembre.

« À l’époque, aucune mesure n’avait été prise pour informer les personnes touchées par la brèche ni pour leur offrir aide et soutien. Cela les a rendus vulnérables », poursuit-il.

Les données recueillies lors des attaques, qui se sont déroulées en octobre et novembre 2016, comprenaient des informations telles que les noms, adresses électroniques et numéros de téléphone des personnes figurant dans les bases de données d’Uber, ainsi que les détails du voyage et les coûts des voyages individuels.

Quand Uber fait affaire avec les cybercriminels

Les résidents du Royaume-Uni touchés par les attaques informatiques n’ont pas été informés de l’incident pendant plus d’un an. Pendant ce temps, Uber a versé 100 000 dollars (90 000 euros) aux hackers pour supprimer les informations récupérées.

Une étude réalisée en septembre par Europol a révélé que de tels « paiements » n’étaient peut-être pas aussi rares qu’il n’y paraît à première vue. Les recherches d’Europol déduisaient que les entreprises pouvaient tenter de contourner les amendes pour violation de la protection des données en négociant avec des cybercriminels.

La cybercriminalité s’engouffre dans les failles du RGPD

Les nouvelles lois de protection de données de l’UE risquent d’entrainer une hausse de la cyber-extorsion, alerte un rapport de l’agence européenne de police criminelle.

Les failles du RGPD

L’amende britannique a été infligée en vertu de la loi de 1998 sur la protection des données, et non du règlement général sur la protection des données adopté en mai de cette année.

Les amendes pour violation de la réglementation européenne en matière de protection de la vie privée dans le cadre du RGPD sont beaucoup plus élevées que celles prévues par les règles précédentes. En effet, des amendes maximales de 17 millions de livres sterling (20 millions d’euros) ou 4 % du chiffre d’affaires mondial peuvent être imposées.

Les sanctions infligées à Uber sont les dernières d’une série d’amendes infligées par l’ICO, la plus récente étant l’amende de 500 000 livres sterling (565 000 euros) infligée à Facebook, qui a récemment annoncé qu’elle faisait appel.

Facebook va payer 100 millions d’euros au fisc italien

Le réseau social Facebook a accepté de régler 100 millions d’euros après une enquête pour fraude fiscale en Italie. Un article de notre partenaire, Ouest-France.

En septembre, Uber a convenu d’un règlement de sanctions de 148 millions de dollars (168 millions d’euros) avec 50 États américains ainsi qu’avec le district de Columbia, afin de tourner la page des plaintes déposées contre lui après l’apparition de détails sur la violation de données de 2017.

Chapitre clos

En réponse aux sanctions imposées mardi par les autorités britanniques et néerlandaises, Uber a déclaré qu’il était impatient de mettre un terme à cet épisode embarrassant.

À la suite de ces violations, l’entreprise a créé de nouveaux postes pour renforcer sa cybersécurité, notamment un responsable de la protection de la vie privée, un responsable de la protection des données et un nouveau responsable de la confiance et de la sécurité.

« Nous sommes heureux de clore ce chapitre sur l’incident des données de 2016 », a déclaré un porte-parole d’Uber. « Nous apprenons de nos erreurs et continuons à nous engager pour gagner la confiance de nos utilisateurs au quotidien. »

Subscribe to our newsletters

Subscribe