Menu
Vous êtes ici : Accueil > Actualités > Actualités > CNIL : Uber mondialement condamné en matière de données personnelles

CNIL : Uber mondialement condamné en matière de données personnelles

Le 20 décembre 2018
CNIL : Uber mondialement condamné en matière de données personnelles

La fin d’année 2018 aura été marquée par une sanction exemplaire de la CNIL à l’égard du géant de l’intermédiation des VTC. La société Uber a en effet été condamnée par une délibération rendue le 19 décembre dernier à une sanction de 400 000 € d’amende pour fuite de données.

Un « Data Leak » dissimulé par Uber

Au cours de l’année 2016, deux individus ont réussi à pénétrer le réseau informatique d’Uber et dérober les données personnelles de 57 millions d’utilisateurs de ses services dont plus d’un million en France.

Dara Khosrowshahi, nommé directeur général du groupe en 2017, avait révélé l’existence de ce piratage plus d’un an après les faits. Son prédécesseur, Travis Kalanick, fondateur de la société, avait versé 100.000 dollars aux pirates informatiques pour qu’ils détruisent les données volées, puis choisi de taire l’incident aussi bien aux victimes qu’aux autorités.

Des manquements majeurs de sécurisation des données

Au cours de son enquête, la CNIL a constaté que les pirates ont utilisé des identifiants retrouvés sur la plateforme collaborative de développement Github :

« La société aurait dû prévoir que ses ingénieurs se connectent à la plateforme collaborative de développement « Github » grâce à une mesure d’authentification forte (par exemple, un identifiant et un mot de passe puis un code secret envoyé sur un téléphone) ;
 

Elle n’aurait pas dû stocker en clair au sein du code source de la plateforme « Github » des identifiants permettant d’accéder au serveur ;
 

Pour l’accès aux serveurs « Amazon Web Services S3 » contenant les données des utilisateurs, elle aurait dû mettre en place un système de filtrage des adresses IP ».

Des sanctions internationales contre Uber

Le RGPD n’étant pas encore applicable au cours de la période visée, la société Uber a pu échapper à une sanction pouvant aller jusqu’à 4% de son chiffre d’affaire mondial.

Cette sanction s’inscrit dans la continuité des sanctions du G29 – Groupe des CNIL européennes, à l’encontre de la société Uber condamnée plusieurs fois au cours des derniers mois pour les manquements à la protection des données ainsi que l’absence d’information d’utilisateurs :

-          26.09.2018 – Etats-Unis : 126 m€ à la suite d’un accord amiable.

-          06.11.2018 – Pays-Bas : 600 000 €

-          26.11.2018 – Royaume-Uni : 425 000 €

Cette actualité est associée aux catégories suivantes : Actualités