FILTRER
Réinitialiser

Insuffisance des mesures de sécurité des données utilisateurs : Uber condamné par la CNIL

02 janvier 2019
par
Dan Scemama

A titre liminaire, notons que l’organisation interne de Uber est la suivante : Uber a son siège social situé aux Etats-Unis (UBER TECHNOLOGIES INC.), elle détient son siège social européen aux Pays-Bas (UBER B.V) et dispose d’une filiale en France (UBER FRANCE SAS).

Le 21 novembre 2017, Uber publie sur son site internet un article révélant qu’elle a subi des cyber-attaques ; deux personnes extérieures à la société ont accédé aux données des utilisateurs de sa plateforme numérique, ce qui concerne, au total, 57 millions d’utilisateurs, dont 1.4 millions sont situés sur le territoire français.

Le 22 décembre 2017, la CNIL adresse un questionnaire aux sociétés UBER TECHNOLOGIES INC et UBER B.V visant à mettre en lumière les circonstances de la violation des données et les mesures prises pour y remédier.

Uber explique que des personnes extérieures sont parvenues à obtenir un accès à un espace privé de travail sur « GitHub », qui est une plateforme tierce de développement de logiciels sur internet utilisée par ses ingénieurs logiciels pour stocker du code. Les ingénieurs pouvaient ainsi se connecter à cette plateforme tierce en utilisant un nom d’utilisateur et un mot de passe, sans qu’un processus de retrait des habilitations soit mis en place lorsqu’un ingénieur quitte la société. Les cyber-attaquants ont utilisé ces identifiants pour se connecter à la plateforme tierce et y ont trouvé une clé d’accès inscrite en clair dans un fichier de code source. Celle-ci permet d’accéder à la plateforme où sont stockées les données à caractère personnel des utilisateurs de la plateforme numérique de Uber. Ces données personnelles concernent le nom, le prénom, l’adresse de courrier électronique, la ville ou le pays de résidence, le numéro de téléphone mobile et le statut des utilisateurs (c’est-à-dire, s’ils sont conducteur, passager, ou les deux à la fois).

En premier lieu, la formation restreinte de la CNIL considère que UBER B.V et UBER TECHNOLOGIES INC revêtent la qualité de coresponsables de traitement. En effet, la qualité de responsable de traitement pour UBER B.V n’était pas contestée et UBER TECHNOLOGIES INC est responsable de traitement en ce qu’elle a géré les conséquences de la violation des données et a révélé son existence au public.

 

Mots-clés

Sur la même thématique

Je souhaite être recontacté
close
*Champs obligatoires