Sept CNIL européennes s’allient pour enquêter sur le piratage d’Uber

Les autorités de surveillance de la vie privée tentent de confronter Uber au piratage récent des données de millions de consommateurs.

Les autorités de protection des données de sept États membres vont coordonner leur enquête judiciaire sur la faille informatique d’Uber, selon un communiqué de presse publié par le groupe de travail dit « Article 29 », le 29 novembre.

Les autorités des sept pays ont décidé de coordonner leur travail d’enquête lors d’une réunion à Bruxelles.  L’autorité néerlandaise de protection des données dirige le groupe de travail, composé également de responsables italiens, espagnols, français, allemands, britanniques, et belges.

Leur enquête sur les potentiels faux-pas d’Uber resteront nationales et les autorités pourraient chacune sanctionner la société dans chaque pays.

Le groupe Article 29 a annoncé la semaine dernière que l’affaire Uber serait à l’ordre du jour après que la société a annoncé le 21 novembre que les données personnelles de 57 millions d’utilisateurs à travers le monde avaient été piratées en 2016.

Le PDG de l’entreprise, Dara Khosrowshahi reconnaît que la société n’a pas immédiatement alerté les clients et les chauffeurs de l’incident.

Une porte-parole d’Uber a refusé de commenter l’enquête du groupe de travail et a déclaré ne pas avoir d’informations sur le nombre d’utilisateurs concernés en Europe.

La justice européenne appelée à trancher sur le statut d'Uber

Hormis l’Espagne, la France et l’Irlande, une majorité d’Etats membres devraient soutenir la demande d’Uber d’être considéré comme une plateforme en ligne, afin d’être soumis à une législation plus favorable, selon les informations obtenues par EURACTIV.

La porte-parole de l’autorité française de protection des données a également déclaré ne pas avoir encore identifié le nombre de français touchés par le piratage des données Uber.

Quant à l’autorité de protection des données britannique, elle a annoncé le 29 novembre que les données de 2,7 millions d’utilisateurs britanniques avaient été compromises par la faille sécuritaire de la société de chauffeurs privés. L’autorité attend toujours les rapports détaillés du type de données emportées par la faille. Uber a affirmé la semaine dernière que les données récupérées par les hackers étaient des noms, des adresses email et des numéros de téléphone.

En Allemagne, où Uber siège officiellement,  l’autorité de protection n’a pas encore donné le nombre de citoyens affectés par le piratage. Les autorités des 16 États allemands (Länder) contrôlent le bon respect des règles de protection des données par les entreprises, et l’autorité fédérale se charge de faire respecter les lois par les institutions publiques.

Les entreprises courront bientôt le risque de pénalités en cas de violations de la loi européenne sur la protection des données et de non notification des piratages auprès des autorités, dans le cadre d’un nouveau règlement européen qui entrera en vigueur en mai 2018. Les entreprises pourront recevoir des amendes allant jusqu’à 4 % de leur chiffre d’affaires total ou de 20 millions d’euros. Les autorités choisiront le plus élevé.