Uber vient d’être jugé pour violation des données personnelles et reçoit la coquette somme de près d’un million d’euros à payer comme amende. Ce montant est le totale de deux sanctions. Une au Royaume-Uni, et une autre aux Pays-Bas.
Dans les faits, c’est l’année 2016 qui nous intéresse. Uber a alors dissimulé l’accès de pirates informatiques aux données personnelles de ses clients. Près de 57 millions de personnes dans le monde ont donc donné sans même s’en rendre compte, adresse mail, numéro de téléphone, mais aussi noms et le lieu de l’inscription. Pour cette belle maladresse, Uber paye le prix, le bureau du commissaire britannique à l’information (ICO) impose une amende d’environ 433 000€ et en parallèle, la Dutch Data Protection Authority (DPA néerlandaise) transmet une amende de près de 600 000€ à l’entreprise.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Un comportement désastreux de la part d’Uber
Le problème fondamental ne vient pas de l’attaque, mais plutôt du comportement d’Uber face à celle-ci. Régulièrement, les entreprises offrent des primes aux chercheurs détectant les risques de piratage et les faiblesses du système. Cela rendre dans le cadre de ce qu’on appelle un bug bounty. À l’inverse, Uber a décidé de payer directement les pirates avec la jolie somme de 100 000 dollars plutôt que d’assumer directement la faiblesse de leur système. De plus, en ayant été directement surpris par les pirates, cela prouve qu’Uber n’a pas mis en place en amont un programme de sécurité viable. Le système de l’entreprise ne respectait donc pas les normes élémentaires de sécurité.
Après cette tentative de camouflage, Uber est resté totalement silencieux sur le vol de ses données pendant près de 12 mois. Il faut savoir que les données personnelles ont aussi touché les chauffeurs Uber, avec l’accès à leurs payes hebdomadaire, leurs trajets et aussi parfois leurs numéros de permis. Uber a déjà été condamné à payer près de 148 millions de dollars au États-Unis en septembre dernier. Uber va donc peut-être enfin comprendre la loi qui lui impose de signaler les violations de données aux autorités et aux personnes concernées dans les 72 heures suivant la découverte du piratage.