CONTACT

UBER condamné par la CNIL à une amende de 400 000 € pour atteinte à la sécurité de ses utilisateurs

30 janvier 2019 | Derriennic Associés|

La CNIL a prononcé une sanction de 400 000 € à l’encontre d’UBER FRANCE SAS pour un manquement à son obligation d’assurer la sécurité les données des utilisateurs de son service de VTC.

En 2017, la société UBER TECHNOLOGIES INC. a publié sur son site internet un article faisant état du fait qu’à la fin de l’année 2016, deux individus extérieurs à la société avaient accédé aux données de 57 millions d’utilisateurs des services UBER à travers le monde.

Les attaquants ont obtenu l’accès à un espace de travail privé UBER sur la plateforme de développement de logiciel GitHub, au sein de laquelle ils ont trouvé une clé d’accès inscrite en clair dans un fichier de code source. Les attaquants ont par la suite utilisé cette clé pour accéder aux bases de données de la société UBER, stockées sur les serveurs Amazon Web Services.

Après avoir pris connaissance de cette violation, et après avoir entendu les représentants d’UBER, la CNIl a retenu un manquement à l’obligation d’assurer la sécurité des données à caractère personnel. En effet, la CNIL a considéré que :

  • l’accès à la plateforme GitHub, « outil de travail central dans le développement des activités de la société », « aurait dû être encadré par des règles de sécurité adéquates » ;
  • les identifiants permettant d’accéder aux bases de données d’UBER n’auraient pas dû être « stockés dans un fichier qui ne serait pas protégé » ;
  • compte tenu du nombre très important de personnes dont les données personnelles sont conservées, « la mise en place d’un système de filtrage des adresses IP, quand bien même cela nécessitait un long développement, constituait un effort nécessaire qui aurait dû être planifié dès le début de l’utilisation des services ».

La CNIL a prononcé une sanction pécuniaire de 400 000 euros à l’encontre de la société UBER FRANCE SAS pour manquement aux obligations de l’article 34 de la loi du 6 janvier 1978.

Lire la décision