La Cnil a condamné la société Uber à payer une amende de 400 000 euros en raison d’un manquement à l’obligation de sécurité des données personnelles.
Violation par la société Uber des exigences de protection des données
Le 19 décembre 2018, la Commission nationale de l’informatique et des libertés (Cnil), réunie en sa formation restreinte, a sanctionné la société de service de transport Uber pour manquement à ses obligations, conformément à la réglementation sur la protection des données à caractère personnel (1).
En novembre 2017, la société Uber avait admis avoir fait l’objet d’un piratage informatique, un an auparavant, à l’occasion duquel les données de 57 millions d’utilisateurs avaient été dérobées.
Les données concernées par ces attaques sont les nom, prénom, adresse de courrier électronique, ville ou pays de résidence, numéro de téléphone mobile et statut des utilisateurs (conducteur, passager ou les deux).
La société Uber, au courant de cette attaque un an auparavant, avait décidé de payer la somme de 100 000 dollars aux attaquants, afin qu’ils ne révèlent pas cette faille à leurs utilisateurs et qu’ils suppriment les données dérobées.
Les données des utilisateurs concernant, non seulement des utilisateurs français, mais également d’autres Etats membres de l’Union européenne, le groupe des Cnil européennes s’est réuni pour enquêter sur les raisons de cette attaque.
Manquement à l’obligation d’assurer la sécurité et la confidentialité des données
L’enquête menée par les Cnil européennes a révélé que l’attaque aurait pu être évitée si certaines mesures de sécurité avaient été mises en place. La Cnil a ainsi condamné la société Uber pour ne pas avoir suffisamment sécurisé les données de ses utilisateurs.
L’attaque trouve son origine sur la plateforme GitHub, plateforme de travail privée utilisée par les ingénieurs logiciels chez Uber et sur laquelle leurs identifiants étaient stockés en clair. Le nom d’utilisateur était ainsi composé de leur email personnel, accompagné d’un mot de passe individuel.
Les attaquants ont ainsi utilisé ces identifiants pour se connecter à la plateforme GitHub sur laquelle ils ont trouvé une clé d’accès en clair permettant d’accéder à la plateforme d’hébergement sur laquelle étaient stockés les données à caractère personnel des utilisateurs de Uber. Cette clé a également permis aux attaquants d’accéder aux bases de données de la société Uber et ainsi de dérober les données personnelles de 57 millions d’utilisateurs.
La formation restreinte de la Cnil relève, dans sa délibération n°SAN-2018-011 du 19 décembre 2018, que l’accès aurait dû être encadré par des règles de sécurité adéquates, tant au regard des mesures d’authentification que des retraits d’habilitation des anciens ingénieurs, actions non mises en place par la société Uber.
Enfin, la formation restreinte de la Cnil considère que la sécurisation de la connexion aux serveurs « Amazon Web Services S3 » constitue une précaution élémentaire et qu’un filtrage des adresses IP aurait permis d’éviter ces connexions illicites.
Condamnation par la Cnil et publication de la décision
Parmi les 57 millions d’utilisateurs concernés par le vol de leurs données, 1,4 million se trouvait en France. Parmi eux se trouvaient 1,2 million de passager et 163 000 conducteurs. En raison de son manquement à son obligation de sécuriser ces données, la Cnil a condamné la société Uber France SAS à la somme de 400 000 euros d’amende et a publié la décision.
Les faits s’étant produits avant l’entrée en application du Règlement général sur la protection des données (RGPD), les sanctions prévues à l’article 83 du RGPD ne sont pas applicables en l’espèce.
A l’époque des faits s’appliquait la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite loi informatique et libertés, modifiée par la loi n°2016-1321 du 7 octobre 2016 pour une République numérique. En effet, la formation restreinte de la Cnil rappelle que le manquement concerné est un manquement continu qui s’est prolongé après le 7 octobre 2016, date d’entrée en vigueur de la loi pour une République numérique.
L’article 34 de la loi du 6 janvier 1978 modifiée dispose ainsi que le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles ne soient déformées, endommagées, ou que des tiers non autorisés y aient accès. La société Uber a alors manqué à son obligation de mettre en œuvre des moyens propres à assurer la sécurité des données à caractère personnel des utilisateurs de son service.
En raison du nombre important de personnes concernées par cette violation de données, la Cnil a également décidé de rendre la sanction publique. En effet et par ce moyen, la Cnil entend sensibiliser les responsables du traitement sur les points ayant fait défaut à la société Uber.
Autres condamnations en Europe
Parmi les 57 millions d’utilisateurs concernés par le vol de leurs données, 1,4 million se trouvaient en France et les autres se trouvaient en dehors du territoire français.
Le 6 novembre 2018, l’autorité néerlandaise de protection des données a sanctionné la société Uber d’une amende de 600 000 euros pour avoir manqué à son obligation de notifier la violation de données. En effet, le piratage des données a eu lieu un an avant que la société Uber en informe les autorités compétentes. La société Uber avait fait le choix de payer les attaquants afin de dissimuler l’attaque.
L’obligation de notifier à la Cnil française n’est apparue qu’avec le RGPD et n’a donc pas fait l’objet de sanction en France en l’espèce, les faits étant intervenus avant l’entrée en application du RGPD.
Le 26 novembre 2018, l’autorité britannique a sanctionné la société Uber d’une amende de 385 000 livres, soit 426 000 euros, pour avoir manqué à son obligation de sécuriser les données.
Virginie Bensoussan-Brulé
Debora Cohen
Lexing Contentieux numérique
(1) Cnil, Délib. SAN-2018-011 du 19-12-2018