Nouvelle sanction de 400.000€ pour une atteinte à la sécurité des données
En novembre 2017, la société UBER a révélé dans la presse qu’un an auparavant, deux individus avaient dérobé les données personnelles de 57 millions d’utilisateurs de ses services.
L’enquête du Groupe des CNIL européennes a mis en lumière les différentes étapes de l’attaque. Les attaquants ont tout d’abord réussi à accéder à des identifiants stockés en clair. Ils ont ensuite utilisé ces identifiants pour accéder à distance à un serveur sur lequel sont stockées les données. Ils y ont téléchargé des informations relatives à 57 millions d’utilisateurs, dont 1,4 millions situés sur le territoire français.
La CNIL a estimé que cette attaque n’aurait pu aboutir si certaines mesures élémentaires en matière de sécurité avaient été mises en place et a estimé que la société avait manqué à son obligation de sécurité des données personnelles. Elle a condamné la société Uber France SAS, établissement des sociétés Uber Technologies Inc. et Uber B.V, à une amende de 400 000 euros. Compte tenu de la date des faits, le RGPD n’était pas encore applicable.