Articles

Actualités, Articles, Informatique et libertés Contentieux, Publication

Condamnation de la société Uber à une amende de 400 000 euros

La Cnil a condamné la société Uber à payer une amende de 400 000 euros en raison d’un manquement à l’obligation de sécurité des données personnelles. Violation par la société Uber des exigences de protection des données Le 19 décembre 2018, la Commission nationale de l’informatique et des libertés (Cnil), réunie en sa formation restreinte, a sanctionné la société de service de transport Uber pour manquement à ses obligations, conformément à la réglementation sur la protection des données à caractère personnel (1). En novembre 2017, la société Uber avait admis avoir fait l’objet d’un piratage informatique, un an auparavant, à l’occasion duquel les données de 57 millions d’utilisateurs avaient été dérobées. Les données concernées par ces attaques sont les nom, prénom, adresse de courrier électronique, ville ou pays de résidence, numéro de téléphone mobile et statut des utilisateurs (conducteur, passager ou les deux). La société Uber, au courant de cette attaque un an auparavant, avait décidé de payer la somme de 100 000 dollars aux attaquants, afin qu’ils ne révèlent pas cette faille à leurs utilisateurs et qu’ils suppriment les données dérobées. Les données des utilisateurs concernant, non seulement des utilisateurs français, mais également d’autres Etats membres de l’Union européenne, le groupe des Cnil européennes s’est réuni pour enquêter sur les raisons de cette attaque. Manquement à l’obligation d’assurer la sécurité et la confidentialité des données L’enquête menée par les Cnil européennes a révélé que l’attaque aurait pu être évitée si certaines mesures de sécurité avaient été mises en place. La Cnil a ainsi condamné la société Uber pour ne pas avoir suffisamment sécurisé les données de ses utilisateurs. L’attaque trouve son origine sur la plateforme GitHub, plateforme de travail privée utilisée par les ingénieurs logiciels chez Uber et sur laquelle leurs identifiants étaient stockés en clair. Le nom d’utilisateur était ainsi composé de leur email personnel, accompagné d’un mot de passe individuel. Les attaquants ont ainsi utilisé ces identifiants pour se connecter à la plateforme GitHub sur laquelle ils ont trouvé une clé d’accès en clair permettant d’accéder à la plateforme d’hébergement sur laquelle étaient stockés les données à caractère personnel des utilisateurs de Uber. Cette clé a également permis aux attaquants d’accéder aux bases de données de la société Uber et ainsi de dérober les données personnelles de 57 millions d’utilisateurs. La formation restreinte de la Cnil relève, dans sa délibération n°SAN-2018-011 du 19 décembre 2018, que l’accès aurait dû être encadré par des règles de sécurité adéquates, tant au regard des mesures d’authentification que des retraits d’habilitation des anciens ingénieurs, actions non mises en place par la société Uber. Enfin, la formation restreinte de la Cnil considère que la sécurisation de la connexion aux serveurs « Amazon Web Services S3 » constitue une précaution élémentaire et qu’un filtrage des adresses IP aurait permis d’éviter ces connexions illicites. Condamnation par la Cnil et publication de la décision Parmi les 57 millions d’utilisateurs concernés par le vol de leurs données, 1,4 million se trouvait en France. Parmi eux se trouvaient 1,2 million de passager et 163 000 conducteurs. En raison de son manquement à son obligation de sécuriser ces données, la Cnil a condamné la société Uber France SAS à la somme de 400 000 euros d’amende et a publié la décision. Les faits s’étant produits avant l’entrée en application du Règlement général sur la protection des données (RGPD), les sanctions prévues à l’article 83 du RGPD ne sont pas applicables en l’espèce. A l’époque des faits s’appliquait la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite loi informatique et libertés, modifiée par la loi n°2016-1321 du 7 octobre 2016 pour une République numérique. En effet, la formation restreinte de la Cnil rappelle que le manquement concerné est un manquement continu qui s’est prolongé après le 7 octobre 2016, date d’entrée en vigueur de la loi pour une République numérique. L’article 34 de la loi du 6 janvier 1978 modifiée dispose ainsi que le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles ne soient déformées, endommagées, ou que des tiers non autorisés y aient accès. La société Uber a alors manqué à son obligation de mettre en œuvre des moyens propres à assurer la sécurité des données à caractère personnel des utilisateurs de son service. En raison du nombre important de personnes concernées par cette violation de données, la Cnil a également décidé de rendre la sanction publique. En effet et par ce moyen, la Cnil entend sensibiliser les responsables du traitement sur les points ayant fait défaut à la société Uber. Autres condamnations en Europe Parmi les 57 millions d’utilisateurs concernés par le vol de leurs données, 1,4 million se trouvaient en France et les autres se trouvaient en dehors du territoire français. Le 6 novembre 2018, l’autorité néerlandaise de protection des données a sanctionné la société Uber d’une amende de 600 000 euros pour avoir manqué à son obligation de notifier la violation de données. En effet, le piratage des données a eu lieu un an avant que la société Uber en informe les autorités compétentes. La société Uber avait fait le choix de payer les attaquants afin de dissimuler l’attaque. L’obligation de notifier à la Cnil française n’est apparue qu’avec le RGPD et n’a donc pas fait l’objet de sanction en France en l’espèce, les faits étant intervenus avant l’entrée en application du RGPD. Le 26 novembre 2018, l’autorité britannique a sanctionné la société Uber d’une amende de 385 000 livres, soit 426 000 euros, pour avoir manqué à son obligation de sécuriser les données. Virginie Bensoussan-BruléDebora CohenLexing Contentieux numérique (1) Cnil, Délib. SAN-2018-011 du 19-12-2018

Actualités, Articles, Pénal numérique, Publication

Revenge porn et vie privée : nouvelle condamnation au civil

Revenge porn et vie privée. Une personne diffuse des contenus à caractère sexuel d’une autre personne pour se venger. Cette pratique se retrouve de plus en plus appréhendée par les tribunaux. En l’espèce, à la suite de leur rupture, la maîtresse d’un homme marié a adressé à sa femme et à son entourage des photographies intimes de ce dernier, notamment de son sexe, ainsi que des captures d’écran des messages qu’ils ont pu s’échanger (1). Le mari a ainsi assigné son ex-maitresse afin d‘obtenir la réparation du préjudice qu’il a subi pour atteinte à sa vie privée et à son droit à l’image, ainsi que pour solliciter la cessation de la diffusion de tout contenu le représentant ou de toute correspondance. Revenge porn et atteinte à la vie privée C’est au visa de l’article 9 du Code civil, selon lequel « chacun a droit au respect de sa vie privée », que le demandeur distinguait l’atteinte au secret de son intimité par la diffusion des correspondances intimes du déshonneur causé par la diffusion des photographies à caractère sexuel. La première diffusion caractérisait pour lui une atteinte à la vie privée et la seconde une atteinte au droit à l’image. Le droit à l’image se rattache à la vie privée en tant qu’attribut de la personnalité et au titre duquel chaque individu a un droit exclusif sur son image. Dès lors, le déshonneur et le préjudice moral subi par le demandeur au titre de son droit au respect de la vie privée et au droit à l’image, même si distingués, relevaient tous deux de l’article 9 du Code civil. En l’espèce, le tribunal n’a ainsi pas repris cette distinction et a considéré que les photographies intimes, notamment du sexe du demandeur, ainsi que les correspondances privées échangées entre ce dernier et son ex-maitresse, relevaient bien de la vie privée du demandeur, en ce qu’elles portent sur sa vie sexuelle et sentimentale. Dès lors, la diffusion de ces dernières à l’entourage du demandeur, sans l’accord de ce dernier, emportait bien violation du droit à la vie privée. Les utilisation dérivées Cette solution se rapproche ainsi de celles rendues en matière de revenge porn. Elle fait prévaloir le fait que le consentement donné, ou non, à la prise de photographies ou de vidéos n’emporte pas consentement à leur diffusion. Toute utilisation dérivée doit ainsi donner lieu à une condamnation en l’absence d’autorisation. Le jugement contient, toutefois, une spécificité, dans la mesure où la circonstance particulière, selon laquelle la femme du demandeur était déjà au fait de sa relation extra-conjugale, a eu comme conséquence de diminuer l’importance de son préjudice moral. L’atteinte à l’honneur du demandeur a ainsi été atténuée, donnant lieu à l’attribution d’une somme de 800 euros de dommages et intérêt au lieu des 4.000 euros demandés. Par ailleurs, la défenderesse soutenait, elle aussi, que le demandeur aurait également diffusé des images d’elle portant atteinte à son droit au respect de la vie privée. A défaut de preuve, sa demande a été rejetée. Revenge porn et cessation de diffusion de contenus spécifiques L’alinéa 2 de l’article 9 du Code civil permet, notamment, aux victimes d’obtenir du juge le retrait de contenu litigieux portant atteinte à la vie privée d’une personne. Cette demande judiciaire est, par ailleurs, autonome de celle qui peut être faite auprès de l’hébergeur du contenu litigieux au titre de la loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique. En l’espèce, le demandeur sollicitait du Tribunal de grande instance de Bobigny d’ordonner à son ex-maitresse de lui faire interdiction de diffuser tout contenu le représentant ou de toutes correspondances qu’il a pu échanger avec elle sur tout support et à quelque personne que ce soit. Le tribunal n’a pas fait droit à cette demande, dans la mesure où elle n’est pas précise, dès lors qu’elle ne vise aucun contenu ou correspondance de manière spécifique. Revenge porn : le choix d’une action au civil ou au pénal Le fait que le demandeur ait caractérisé les contenus litigieux comme comportant un « caractère sexuel » permet de faire un parallèle avec l’article 226-2-1 du Code pénal, spécifiquement créé pour incriminer la pratique du revenge porn et qui comporte exactement ces mêmes termes. En effet, cet article punit des mêmes faits, le délit d’atteinte à la vie privée : « en l’absence d’accord de la personne pour la diffusion, de porter à la connaissance du public ou d’un tiers tout enregistrement ou tout document portant sur des paroles ou des images présentant un caractère sexuel, obtenu, avec le consentement exprès ou présumé de la personne ou par elle-même ». Le demandeur aurait ainsi pu introduire une action au pénal, au visa de l’article 226-2-1 du Code pénal, qui punit la diffusion d’image à caractère sexuel de deux ans d’emprisonnement et de 60.000 euros d’amende. Que ce soit au civil ou au pénal, pas besoin de mobile pour caractériser l’atteinte. Seul compte l’acte de diffusion, par quelque support que ce soit, d’un contenu à caractère sexuel sans le consentement de la victime. Toutefois, le jugement du 20 novembre 2018 soulève la question du retrait définitif de la diffusion du contenu litigieux, ainsi que de son effectivité. En effet, même si la demande est précise et est acceptée par les tribunaux, ce retrait définitif reste encore difficile à appliquer en matière de revenge porn, où les moyens de diffusion sont démultipliés. Chloé Legris-Dupeux Annabelle Moreaux Lexing Pénal numérique et e-réputation (1) TGI Bobigny, ch. 5 sec. 3, 20-11-2018.

Retour en haut