Protection des données insuffisante : Uber France à l’amende

Au mois de novembre 2017, Uber a révélé dans la presse que deux individus avaient dérobé, un an plus tôt, les données personnelles de 57 millions d’utilisateurs de ses services. Parmi eux, environ 1,4 million étaient situés sur le territoire français. En conséquence, la Commission nationale de l’informatique et des libertés (Cnil) adresse une amende de 400 000 euros à l’entreprise, pour avoir « manqué à son obligation de sécurité des données personnelles », selon un communiqué diffusé ce jeudi 20 décembre. C’est Uber France, établissement des sociétés Uber Technologies Inc. et Uber B.V, qui a été condamnée.

Des manquements en termes de mesures de sécurité

Pour la Cnil, l’attaque aurait pu être évitée « si certaines mesures élémentaires en matière de sécurité avaient été mises en place ». « Uber aurait dû prévoir que ses ingénieurs se connectent à la plate-forme collaborative de développement Github grâce à une mesure d’authentification forte (par exemple, un identifiant et un mot de passe puis un code secret envoyé sur un téléphone) », indique l’organisme. De plus, elle n’aurait pas dû « stocker en clair au sein du code source de la plateforme Github des identifiants permettant d’accéder au serveur ». Enfin, s’agissant de l’accès aux serveurs « Amazon Web Services S3 » contenant les données des utilisateurs, Uber « aurait dû mettre en place un système de filtrage des adresses IP ».

Les Pays-Bas et le Royaume-Uni ont déjà condamné la plate-forme américaine de réservation de voitures avec chauffeur à deux amendes, pour un total de plus d’un million d’euros.

A lire aussi :

• Véhicule autonome : 9 mois après l’accident, Uber reprend ses tests
• VTC : Uber for Business trace sa route… sans les agences
• Uber à l’amende pour avoir passé sous silence un piratage de données