La CNIL inflige une sanction de 400 000 euros à UBER FRANCE

A la fin de l’année 2016, deux individus extérieurs à la société UBER avaient pu accéder (en récupérant les clés d’accès aux serveurs de UBER présentes dans le code source déposé sur  la plateforme de développement Github) aux données de 57 millions d’utilisateurs des services UBER à travers le monde dont 1,4 million sur le territoire français.

Parmi ces utilisateurs français se trouvaient 1,2 million de passagers et 163 000 conducteurs. Les pirates informatiques "avaient eu accès aux données suivantes : nom, prénom, adresse de courrier électronique, ville ou pays de résidence, numéro de téléphone mobile et statut des utilisateurs (conducteur, passager ou les deux)".

Saisie de l'affaire,  la Cnil dans sa délibération du 19 décembre 2018 a relevé à l'encontre de la société UBER  plusieurs négligeance relative à son obligation de sécurité des données personnelles faisant l'objet d'un traitement :

- l'absence de mesure d’authentification multifactorielle  (type d'authentification combinant au moins deux informations d'identification indépendantes (ex: mot de passe, jeton-token) pour accéder aux données personnelles stockées en grande quantité sur des serveurs.

- une négligence importante caractérisée par l’absence de processus relatif au retrait des habilitations des anciens ingénieurs aboutissant à ce que  la société UBER était dans "l’impossibilité de garantir que des personnes ayant quitté la société ne continuaient pas d’accéder aux projets développés sur Github".

que les clefs d'accès aux serveurs n'étaient pas protégées et figuraient en clair dans le code source stocké sur la plateforme de développement Github.

Dans ce contexte pour la formation restreinte de la Cnil la société Uber "a fait preuve de négligence en ne mettant pas en place certaines mesures élémentaires de sécurité. Ce manque de précautions généralisé est manifeste dans la mesure où le succès de l’attaque menée par les pirates a résulté d’un enchainement de négligences, illustré par les trois étapes de l’attaque". La formation restreinte a donc considéré "que la société n’avait pas pris toutes les précautions utiles afin d’empêcher que des tiers non autorisés aient accès aux données traitées et que le manquement à l’article 34 de la loi du 6 janvier 1978 modifiée est constitué".

Elle inflige donc à la société UBER une sanction pécuniaire d’un montant de 400 000 euros (Décision susceptible de faire l’objet d’un recours devant le Conseil d’Etat).