Le gendarme de la vie privée inflige une amende de 400.000€ à Uber après le vol de données de 1,4 million d'utilisateurs en France car il estime que l'incident aurait pu être évité

Dara Khosrowshahi, le DG d'Uber, lors d'une conférence de presse au Caire, en Egypte, le 4 décembre 2018. Reuters/Lena Masri

  • La Commission nationale informatique et libertés (CNIL) inflige une amende de 400.000 euros à Uber suite au vol de données de 1,4 million d'utilisateurs en France.
  • Uber avait dévoilé, en décembre 2017, que des hackers avaient dérobé les données personnelles de 57 millions d'utilisateurs dans le monde.
  • La CNIL estime que ce piratage aurait pu être évité si Uber avait mis en place "certaines mesures élémentaires en matière de sécurité".

La gendarme français de la vie privée demande à Uber de payer une amende de 400.000 euros suite au vol de données de 1,4 million d’utilisateurs en France.

La Commission nationale informatique et libertés (CNIL) juge, dans un communiqué du jeudi 20 décembre, que l'entreprise américaine a "manqué à son obligation de sécurité des données personnelles".

La décision fait suite à une enquête coordonnée au niveau européen par le G29 — qui rassemble les équivalents de la CNIL dans toute l’UE —, après qu'Uber a dévoilé, en décembre 2017, que des hackers avaient dérobés les données personnelles de 57 millions d'utilisateurs dans le monde.

L'enquête révèle que les pirates ont pu accéder aux identifiants des clients, stockés en clair sur la plateforme Github, puis ont utilisé ces identifiants pour accéder aux données stockées sur un serveur, et les ont téléchargées.

La CNIL estime que ce piratage aurait pu être évité si Uber avait mis en place "certaines mesures élémentaires en matière de sécurité" et souligne, dans son communiqué, que:

  • "la société aurait dû prévoir que ses ingénieurs se connectent à la plateforme collaborative de développement Github grâce à une mesure d’authentification forte (par exemple, un identifiant et un mot de passe puis un code secret envoyé sur un téléphone) ;
  • elle n'aurait pas dû stocker en clair au sein du code source de la plateforme "Github" des identifiants permettant d’accéder au serveur ;
  • pour l'accès aux serveurs "Amazon Web Services S3" contenant les données des utilisateurs, elle aurait dû mettre en place un système de filtrage des adresses IP."

Uber a déjà été condamné dans cette affaire au Royaume-Uni, où la société doit payer une amende de 434.000 euros, et aux Pays-Bas, où elle doit verser 600.000 euros aux autorités.

Lors de l'annonce de cette sanction, Uber s'était dit "satisfait d'avoir fermé ce chapitre sur l'incident des données de 2016".

Le piratage s'étant produit en 2016, le sanctions prévues par le RGPD ne sont pas applicables. L'amende pouvant s'élever à jusqu’à 4% du chiffre d'affaires mondial d'Uber si c'était le cas.

Vous avez apprécié cet article ? Likez Business Insider France sur Facebook !

Lire aussi : Uber a discrètement lancé sa procédure d'entrée en bourse

VIDÉO: Pourquoi a-t-on du mal à tuer les cafards?