Obligation de sécurité des données personnelles
Uber a « insuffisamment sécurisé les données des utilisateurs » de son service de VTC. C’est ce qu’a estimé le 20 décembre dernier la Commission nationale de l’informatique et des libertés (Cnil), en condamnant Uber à 400.000 euros d’amende. C’est là l’amende la plus importante jamais infligée au sujet d’une violation de données. En Europe, Uber avait déjà été sanctionné fin novembre aux Pays-Bas (600.000 euros) et en Grande-Bretagne (435.000 euros), pour avoir dissimulé le piratage dont ses données avaient été victimes. En effet, en 2016, les données personnelles de 57 millions d’utilisateurs à travers le monde avaient été compromises, dont 1,4 million en France.
C’est en novembre 2017 qu’Uber avait dû reconnaître que les données des clients ou chauffeurs avaient été piratées. Selon la Cnil, cette attaque aurait aurait pu être évitée « si certaines mesures élémentaires en matière de sécurité avaient été mises en place ». Dans un communiqué, la Cnil a jugé qu’Uber « avait manqué à son obligation de sécurité des données personnelles » et aurait dû prévoir « une mesure d’authentification forte » aux serveurs de la plateforme collaborative de développement Github, grâce à laquelle les pirates avaient dérobé les données. Outre-Atlantique, en septembre dernier, Uber avait déjà conclu avec les autorités américaines un accord à l’amiable de 148 millions de dollars relatif à ce piratage.
