Échéances 23 Connexion Inscription
Passées À venir
  1. Actualités >
  2. Papiers d'identité - Citoyenneté >
  3. Données personnelles >
  4. Uber condamné par la CNIL pour protection des données personnelles insuffisante
Données personnelles

Uber condamné par la CNIL pour protection des données personnelles insuffisante

Actualité mise à jour le - La Rédaction de DemarchesAdministratives.fr avec AFP
Suite au piratage d’un grand nombre de données de ses utilisateurs, la CNIL condamne Uber à payer 400 000 € d’amende, considérant qu’il y a eu de trop nombreuses négligences de la part de la plateforme concernant la sécurité des données. Qu’en est-il ?
Sommaire

En novembre 2017, Uber a été victime d’un piratage des données de ses utilisateurs. La CNIL (Commission nationale de l’informatique et des libertés) estime que cela aurait pu être évité si la plateforme de VTC avait fait le nécessaire en matière de sécurisation des datas. Ainsi, Uber a écopé d’une amende record de 400 000 € pour avoir manqué à son obligation de sécurité des données personnelles. Le point dans cet article.

Uber condamné par la CNIL pour protection des données personnelles insuffisante

Les données de 57 millions d’utilisateurs à travers le monde subtilisées par des pirates informatiques

Uber aurait été informé d’un piratage massif des données de ses utilisateurs dès novembre 2016, par les hackers eux-mêmes. La société aurait même payé une « rançon » de 100 000 $ pour s’assurer de leur destruction et étouffer l’affaire.

Ce n’est qu’un an plus tard qu’elle a révélé publiquement avoir été victime d’un vol de données, ce qui lui a valu plusieurs sanctions financières successives dans divers pays. En septembre 2018, un accord à l’amiable avait été conclu avec les autorités américaines pour 148 millions de dollars. Mais fin novembre, les Pays-Bas lui infligeaient 600 000 € d’amende et la Grande-Bretagne 435 000 € pour avoir tenté de passer sous silence le piratage.

La CNIL estime qu’il y a eu négligence

Ce jeudi 20 décembre, dans un communiqué, la CNIL a déclaré dans un communiqué que la cyberattaque aurait pu être évitée « si certaines mesures élémentaires en matière de sécurité avaient été mises en place » par Uber, comme des mesures de double authentification de ses ingénieurs via la plateforme collaborative Github ou en évitant de stocker les identifiants permettant l’accès au serveur au sein même du code source.

Après une investigation menée en collaboration avec plusieurs pays européens, la commission a jugé que la plateforme « avait manqué à son obligation de sécurité des données personnelles » et lui a donc infligé une amende record de 400 000 €. Du jamais vu dans le contexte d’un vol de données utilisateurs, et cela aurait pu être pire si les faits avaient eu lieu après l’instauration du RGPD (Règlement général sur la protection des données).

En rendant publique cette sanction, la CNIL envoie un message fort aux entreprises et montre qu’un manque de protection des données peut donner lieu à de sérieuses sanctions.