Uber a déclaré que 57 millions de ses comptes ont été touchés par un piratage dont elle a été la victime en 2016. Cependant, après avoir caché cet épisode pendant un an, l’entreprise n’a toujours pas donné de détails en fonction des pays touchés.
Une situation qui n’a pas été du goût de la France. Mounir Mahjoubi, le secrétaire d’État chargé du Numérique, a écrit à Dara Khosrowshahi, le patron d’Uber, pour demander des explications sur ce piratage.
« Face au danger que représente l’exploitation de ces données, je souhaite vous exprimer mon inquiétude quant à l'éventuelle présence en très grand nombre de clients et chauffeurs français dans cette liste.
« À ce jour et à notre connaissance, vous n’avez pas signalé cet incident auprès des autorités françaises et notamment auprès de la Commission nationale informatique et liberté ou de l’Agence nationale de sécurité des systèmes d’informations, ni auprès des utilisateurs concernés. Au regard du nombre de vos clients, vous avez une importance qui vous donne une responsabilité. L’entrée en vigueur du règlement général pour la protection des données est prévue pour mai 2018 et il établira des obligations de notification pour de pareils cas. Au regard du danger existant, nous souhaiterions que vous informiez volontairement les utilisateurs concernés ainsi que les autorités françaises.
« Pouvez-vous à ce jour nous indiquer si des utilisateurs français sont concernés et si oui combien, et de quels types sont les données qui ont été dérobées, quelles mesures techniques et organisationnelles sont mises en place pour informer et accompagner les utilisateurs ?
« Le signalement aux autorités et aux utilisateurs est le seul moyen de protéger les victimes et de limiter les conséquences de ces fuites. »
Selon Uber, les noms, adresses électroniques et numéros de téléphone des victimes ont été subtilisés. Le groupe américain de réservation de voitures avec chauffeur affirme qu'aucune information bancaire n'a été exfiltrée, pas plus que les dates de naissance et les historiques de trajets.
Ce qui n’arrange pas la situation c’est qu’Uber a d’abord informé une banque japonaise, Softbank, trois semaines avant de dévoiler le piratage à ses utilisateurs et aux autorités compétentes. Softbank est actuellement en discussion avec Uber pour investir dans l’entreprise. « Nous avons informé Softbank que nous enquêtions sur une fuite de données, en conformité avec notre devoir d’information envers un investisseur potentiel, même si l’information dont nous disposions à l’époque était préliminaire et incomplète », s’est justifié Uber dans un communiqué. « Nous avons également précisé qu’une enquête était en cours. Une fois que nous l’avons achevée, nous avons eu une compréhension plus complète des faits et nous avons alors informé les régulateurs et nos clients. »
La France n’est pas la seule à s’inquiéter et à demander des comptes à l’entreprise de transport. En effet, dans plusieurs pays, les autorités de protection des données personnelles ont annoncé l’ouverture d’enquêtes sur ce piratage et la façon dont Uber l’a gérée, comme au Royaume-Uni, en Australie ou encore aux Philippines. En Europe, le G29, qui rassemble les gendarmes européens de la vie privée et qui est actuellement présidé par la présidente de la CNIL française Isabelle Falque-Pierrotin, a prévu de se réunir cette semaine à ce sujet, afin d’envisager une coordination des enquêtes. Manque de transparence, obligations d’information et de sécurité non respectées, etc. Les régulateurs ont de quoi sanctionner.
Aux États unis, les procureurs de six États ont également commencé à se pencher sur la question, aux côtés de la Federal Trade Commission, l’autorité américaine chargée de la protection des consommateurs. Aux États-Unis comme dans un certain nombre d’autres pays, la loi impose aux entreprises victimes d’une fuite de données d’en informer les victimes potentielles.
Parallèlement, deux recours collectifs ont été lancés contre Uber aux États-Unis, lui reprochant de ne pas avoir révélé plus tôt le piratage, arguant que cela porte préjudice à ses clients.
Source : Le Monde, Reuters
Piratage d'Uber : la France demande des éclaircissements
Et rappelle à l'entreprise les sanctions qu'elle encourt dès l'application du RGPD
Piratage d'Uber : la France demande des éclaircissements
Et rappelle à l'entreprise les sanctions qu'elle encourt dès l'application du RGPD
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !