Recevez chaque jour toute l'actualité du numérique

x

La CNIL condamne Uber à une amende de 400 000 euros

La CNIL a condamné Uber à une amende de 400 000 euros pour manquement à son obligation de sécurité des données personnelles. Les faits qui lui sont reprochés concernent le vol des données de 50 millions d'utilisateurs – dont 1,4 million situés sur le territoire français – révélé en novembre 2017 par l'entreprise de VTC.
Twitter Facebook Linkedin Flipboard Email
×

La CNIL condamne Uber à une amende de 400 000 euros
La CNIL condamne Uber à une amende de 400 000 euros © Uber

La CNIL veille au respect de la vie privée et le fait savoir. Le gendarme français de la vie privée a annoncé jeudi 20 décembre 2018 avoir condamné Uber à une amende de 400 000 euros en raison du vol de données de 50 millions de clients révélé en novembre 2017 par l'entreprise de VTC. Concrètement, Uber est condamné pour manquement à son obligation de sécurité des données personnelles.

 

Cette fuite massive de données a eu lieu en octobre 2016 et concerne 1,4 million de personnes situées sur le territoire français. Les données dérobées par deux individus contenaient les noms, adresses email et numéros de téléphone des clients.

 

Trois manquement majeurs

"Les attaquants ont tout d’abord réussi à accéder à des identifiants stockés en clair sur la plate-forme collaborative de développement Github", explique la CNIL dans un communiqué. Grâce à ces identifiants ils ont pu accéder à distance à un serveur sur lequel étaient stockées les données dérobées.

 

La CNIL soulève trois erreurs commises par Uber et caractérisant son manquement à l'obligation de sécurité des données personnelles. Uber aurait dû mettre en place une mesure d'identification plus forte pour que ses ingénieurs se connectent à la plate-forme Github. Les identifiants permettant d’accéder au serveur n'auraient pas dus être stockés en clair au sein du code source de la plate-forme Github. Et Uber aurait dû mettre en place un système de filtrage des adresses IP pouvant accéder aux serveurs contenant les données des utilisateurs.

 

La CNIL précise rendre publique cette décision en raison du nombre élevé de personnes concernées par cette fuite de données et  dans le but de sensibiliser les opérateurs. Elle n'est pas la seule à avoir condamné Uber dans cette affaire. L'autorité néerlandaise a condamné le géant du VTC pour manquement à l’obligation de notification de la violation de données à 600 000 euros d'amende et l'autorité britannique l'a condamné pour manquement à l’obligation de sécuriser les données à 385 000 livres sterling (environ 425 000 euros).

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media