En novembre 2017, la société de transport de personnes avec chauffeur UBER a informé le Groupe de travail de l’article 29 sur la protection des données (le G29) de ce qu’elle avait subi une attaque de deux individus extérieurs, leurs ayant permis d’accéder aux données de 57 millions d’utilisateurs à travers le monde et a manifesté sa volonté de coopérer avec les autorités compétentes sur cette affaire.
L’enquête qui s’en est suivie a révélé que les attaquants avaient réussi à accéder à des identifiants stockés en clair sur la plateforme collaborative de développement « GitHub » et qu’ils avaient utilisé ces identifiants pour accéder à distance à un serveur sur lequel sont stockées les données. Les données concernées étaient les suivantes : nom, prénom, adresse de courrier électronique, ville ou pays de résidence, numéro de téléphone mobile et statut des utilisateurs (conducteur, passager ou les deux).
Bien que la société UBER ait alerté spontanément la CNIL de la difficulté qu’elle avait rencontrée, la formation restreinte a été amenée à analyser si elle avait à ce titre manqué à son obligation de mettre en œuvre des moyens propres à assurer la sécurité des données à caractère personnel traitées et, en particulier, celles des utilisateurs du service UBER, afin que ces données ne soient pas accessibles à des tiers non autorisés.
La formation restreinte estime en l’espèce que la société UBER a fait preuve de négligence en ne mettant pas en place certaines mesures de sécurité élémentaires, après avoir observé que :
– la plateforme GitHub constituait un outil de travail central dans le développement des activités de la société, de sorte qu’elle aurait dû être encadrée par des règles de sécurité adéquates ;
– l’absence de processus relatif au retrait des habilitations des anciens ingénieurs constitue une négligence importante puisque la société était dans l’impossibilité de garantir que les personnes ayant quitté la société ne continuaient pas d’accédé aux projets développés sur GitHub ;
– compte tenu du nombre très important de personnes dont les données personnelles sont conservées sur les serveurs, la mise en place d’un système de filtrage des adresses IP, quand bien même cela nécessitait un long développement, constituait un effort nécessaire qui aurait dû être planifié dès le début de l’utilisation des services.
La CNIL a donc décidé de prononcer une sanction à hauteur de 400.000 euros sur le fondement de l’article 34 de la loi Informatique et Libertés, dans sa version antérieure au Règlement Général sur la protection des données, au regard du très grand nombre de personnes concernées par la violation de données.
D’autres autorités européennes ont également pris des sanctions à l’encontre de la société UBER pour les mêmes faits. Ainsi les autorités néerlandaises et britanniques de protection des données ont prononcé une amende respective de 600.000 euros et 350.000 £ à l’encontre de cette société.