Uber est une entreprise technologique américaine qui développe et exploite des applications mobiles de mise en contact d'utilisateurs avec des conducteurs réalisant des services de transport. L'entreprise vient d'écoper d'une amende de plus de 900 000 £ pour une violation des données de 2016 qui a affecté les données des clients. Le Bureau du Commissaire à l'information, « Information Commissioner's Office (ICO) », un organisme public britannique qui défend le droit à l'information dans l'intérêt public, en promouvant la transparence des organismes publics et la protection des données à caractère personnel, a condamné Uber à une amende de 385 000 £, soit environ 434 000 € pour n'avoir pas assez protéger les informations personnelles de ses clients lors d'une cyberattaque.
Au même moment, « Dutch Data Protection Authority (DPA) », l'autorité néerlandaise de la protection des données qui est l'autorité de protection des données des Pays-Bas, a infligé aussi une amende de 600 000 € à Uber pour violation de la législation néerlandaise sur la protection des données. Au total, l'entreprise californienne a donc écopé d'une amende d'environ un million d'euros. Pour rappel, vers la fin du mois de novembre 2017, le PDG de l’entreprise de VTC, Dara Khosrowshahi, avait rapporté que deux pirates informatiques ont volé les données personnelles de 57 millions de clients et de chauffeurs d’Uber Technologies Inc. Le fait le plus aggravant est que cette violation de données était connue de son chef de sécurité, Joe Sullivan, et de l’un de ses adjoints, Craig Clark, depuis 2016.
Pour couvrir certaines actions, ces derniers ont passé sous silence ces faits et ont effectué un paiement de 100 000 dollars aux pirates informatiques en leur demandant de supprimer les données en leur possession. Après avoir creusé sur cette affaire, Reuters avait rapporté qu’un des deux pirates informatiques impliqués dans le vol des données serait un homme âgé de 20 ans qui a reçu le montant indiqué (100 000 dollars) sous forme de récompense donnée à travers le programme de bug bounty organisé par l’entreprise. Une source de Reuters avait décrit le hacker comme « vivant avec sa mère dans une petite maison en essayant d’aider à payer les factures ». Reuters ajoute que les membres de l’équipe de sécurité d’Uber ne voulaient pas poursuivre une personne qui semblait ne pas constituer une menace véritable.
Le PDG a assuré qu’au moment de l'incident, Uber a pris des mesures immédiates pour sécuriser les données et mettre fin à l'accès non autorisé par les individus. Elle a ensuite identifié les individus et obtenu l'assurance que les données téléchargées avaient été détruites. Puis elle a mis en place des mesures de sécurité pour restreindre l'accès aux contrôles sur ses comptes de stockage basés sur le cloud et les renforcer. Les données compromises comprenaient des noms et des numéros de permis de conduire de 600 000 conducteurs. « La décision d'Uber de dissimuler cette violation était une violation flagrante de la confiance du public », avait déclaré Xavier Becerra, procureur général de Californie, dans un communiqué. « La société n'a pas réussi à protéger les données des utilisateurs et à informer les autorités lorsqu'elles ont été exposées. », a-t-il ajouté.
La société de transport, qui veut retrouver la confiance des clients et chauffeurs et refaire son image, collabore pleinement à l’enquête. Elle avait décidé de verser 148 millions de dollars dont le règlement sera réparti entre les 50 États et le district de Columbia. Selon Tony West, le directeur juridique d'Uber, la société avait récemment engagé un responsable de la protection de la vie privée et un responsable de la confiance et de la sécurité. « Nous savons que gagner la confiance de nos clients et des régulateurs avec lesquels nous travaillons à l’échelle mondiale n’est pas une mince affaire. Après tout, la confiance est difficile à gagner et facile à perdre », avait déclaré M. West.
« Il s’agit non seulement d’une grave défaillance en matière de protection des données de la part d’Uber mais également d’un mépris total pour les clients et les chauffeurs dont les données personnelles avaient été volées », déclare Steve Eckersley, directeur des enquêtes au sein de l’ICO, cité dans un communiqué. « A l’époque, aucune mesure n’avait été prise pour avertir la moindre personne concernée par les faits ni pour proposer de l’aide et du soutien », a-t-il ajouté. L’ICO a précisé que des données de près de 82 000 chauffeurs basés en Grande-Bretagne avaient été volées en octobre et en novembre 2016. Les autorités néerlandaises ont pour leur part fait état de 174 000 personnes affectées par l’incident. Dans un communiqué, Uber se dit « satisfait d’avoir fermé ce chapitre sur l’incident des données de 2016 ».
« Payer les attaquants et ensuite garder le silence à ce sujet par la suite n'était pas, à notre avis, une réponse appropriée à la cyberattaque », a déclaré Eckersley. La loi sur la protection des données (Data Protection Act, DPA) de 1998 ne comportait aucune obligation légale, mais tout a changé depuis l'entrée en vigueur du RGPD en mai dernier. Les entreprises disposent de 72 heures pour informer l’ICO ou disposer d’un motif valable pour ne pas le faire. Les deux amendes émises se sont donc limitées à celles autorisées par la loi de 1998 sur la protection des données. Si l'incident de sécurité s'était produit après l'entrée en vigueur du RGPD, les amendes auraient pu être beaucoup plus élevés.
Sources : DPA, ICO
Et vous ?
Qu'en pensez-vous ?
Voir aussi
Uber : le piratage des données de 2016 aurait été commis par un hacker de 20 ans payé 100 000 $ sous forme de prime de bug bounty pour son silence
Uber a été victime d'un piratage massif en 2016 et a préféré payer 100 000 dollars aux hackers pour étouffer l'affaire
Uber versera 148 millions de dollars pour régler une enquête pour violation de données, pour avoir dissimulé l'accès non autorisé au public
Les autorités britanniques et néerlandaises infligent une amende d'un million d'euros à Uber
Pour une violation des données de ses clients en 2016
Les autorités britanniques et néerlandaises infligent une amende d'un million d'euros à Uber
Pour une violation des données de ses clients en 2016
Le , par Bill Fassinou
Une erreur dans cette actualité ? Signalez-nous-la !