Uber sanctionnée par la CNIL pour atteinte à la sécurité des données

Uber sanctionnée par la CNIL pour atteinte à la sécurité des données
⏱ Lecture 3 min

Par Stéphane ASTIER et Rachel RUIMY

Le 20 décembre 2018, la CNIL a rendu publique sa décision de sanction pécuniaire de 400.000 euros prononcée à l’encontre de la société UBER FRANCE pour atteinte à la sécurité des données de ses utilisateurs. 

Dans cette décision, la CNIL considère que la société UBER n’a pas pris toutes les précautions utiles afin d’empêcher que des tiers non autorisés aient accès aux données à caractère personnel de ses utilisateurs et a manqué à son obligation de sécurité sur le fondement de l’article 34 de la loi Informatique & Libertés. 

1. Défaut de sécurisation des accès aux données utilisateurs d’UBER

En novembre 2017, deux pirates ont accédé aux données à caractère personnel de 57 millions d’utilisateurs de cette célèbre plateforme de VTC, dont 1,4 millions sur le territoire français (1,2 million de passagers et 163.000 conducteurs). 

En se connectant à la plateforme collaborative « GitHub », espace de travail privé utilisé par les collaborateurs de la société UBER, les attaquants ont pris connaissance d’une clé d’accès inscrite en clair dans un fichier du code source. A partir de celle-ci, ils ont pu se connecter à un compte de service permettant d’accéder et de télécharger les données personnelles des utilisateurs, passagers et conducteurs, et notamment leur nom, prénom, e-mail, ville ou pays de résidence et numéro de téléphone.  

2. Des négligences jugées fautives

La CNIL a considéré que ce manque de précautions généralisé était manifeste dans la mesure où cette attaque a résulté d’un enchainement de négligences. 

A ce titre, l’autorité de contrôle a considéré que cette intrusion aurait pu être évitée si UBER avait pris les mesures de sécurité nécessaires et notamment : 

  • Des mesures d’authentification forte pour l’accès de ses collaborateurs à la plateforme GitHub ; 
  • Des mesures de retrait des habilitations des anciens collaborateurs d’UBER pour empêcher les accès aux projets développés sur Github ; 
  • L’absence de stockage en clair sur cette plateforme des identifiants permettant d’accéder au serveur ; 
  • Un système de filtrage des adresses IP pour l’accès aux serveurs contenant les données à caractère personnel des utilisateurs. 

Concernant une intrusion également réalisée à partir de GitHub, la CNIL avait prononcé une sanction de 50.000 euros à l’encontre de la société Dailymotion sur le même fondement. 

Comme nous vous l’avions déjà indiqué ici, il appert que la CNIL attache une importance particulière à l’obligation d’assurer la sécurité des données, encadrée par l’article 34 de la loi Informatique & Libertés , obligation renforcée par les dispositions de l’article 32 du RGPD. 

Pour rappel, le responsable de traitement et le sous-traitant, doivent mettre en œuvre des mesures techniques et organisationnelles permettant de garantir un certain niveau de sécurité. 

Comme en témoigne la présente délibération, le seul respect de l’obligation de notification d’une violation de données à caractère personnel sous 72 heures, imposée par l’article 33 du RGPD, est insuffisant. 

3. Des processus de neutralisation des risques cyber à prévoir

En tout état de cause, ce processus doit être précédé de mesures de sécurité élémentaires telles que : 

  • L’authentification des utilisateurs avec un login unique à chacun et adopter une politique de mot de passe conforme aux recommandations de la CNIL ; 
  • La traçabilité des accès et la gestion des incidents via un système de journalisation ; 
  • La sécurisation des postes de travail (utilisation d’un antivirus, installation d’un pare-feu) ; 
  • La sécurisation des serveurs en limitant l’accès aux outils aux seules personnes habilités ; 
  • La protection des locaux ;
  • La sécurisation des sites internet ; 
  • L’utilisation de fonctions cryptographiques. 

D’un point de vue juridique, il convient de se doter de mesures de cyber gouvernance permettant de neutraliser ces risques. Ces procédures prennent la forme d’un « Référentiel Sécurité » détaillant les mesures organisationnelles et techniques mises en œuvre pour assurer la sécurité et la confidentialité des données (Pour présentation du Référentiel sécurité cliquez ici) . 

 

Des sanctions plus importantes à prévoir…

Les faits s’étant déroulés avant la date d’entrée en application du RGPD, la CNIL a prononcé une amende de 400.000 euros « seulement ». 

Toute situation similaire se déroulant aujourd’hui pourrait donner lieu à une amende nettement supérieure, pouvant aller jusqu’à 4% du chiffre d’affaire annuel mondial ou 20 millions d’euros. 

Il convient également d’observer que la CNIL a décidé de rendre publique sa délibération afin de sensibiliser les acteurs.

Les conséquences réputationnelles d’une telle sanction ne sont pas neutres et doivent être également prises en compte. 

 

******

 

Le cabinet HAAS Avocats, cabinet spécialisé en cybersécurité, accompagne depuis plus de 20 ans ses clients dans la mise en conformité de leurs traitements à la réglementation « informatique et libertés ». Service de DPO externalisé ; audit, cartographie des traitements, réalisation/consolidation du référentiel sécurité, établissement des accords contractuels avec les sous-traitants, mise en conformité des sites Web, etc. sont autant d’exemples de missions menées au quotidien par les avocats du Cabinet HAAS auprès de PME, de grands comptes comme d’entités publiques.

N’hésitez pas à nous contacter pour tout renseignement complémentaire en cliquant ici.

Stéphane ASTIER

Auteur Stéphane ASTIER

Suivez-nous sur Linkedin