Uber annonce avoir trouvé un accord avec les autorités américaines sur l'affaire du piratage survenu en 2016, qui avait abouti la fuite de données personnelles pour plus de 57 millions de personnes.

C’était il y a deux ans. Uber découvrait avoir été la cible d’un gigantesque piratage de données personnelles. Des dizaines de millions d’individus touchés dans le monde, y compris en France, avec 1,4 million de victimes répertoriées. Mais de cette grave fuite, nous n’en saurons rien avant un an. Ce n’est en effet que fin 2017, lorsque le nouveau patron d’Uber a pris ses fonctions, que cet incident fut révélé.

Aujourd’hui, la plateforme de VTC entend tourner cette page. Aux États-Unis, en tout cas. Dans un communiqué publié le 26 septembre, le directeur général d’Uber, Dara Khosrowshahi annonce qu’un accord a été trouvé avec les procureurs généraux de 50 États américains, ainsi qu’avec Washington, « pour régler leurs enquêtes judiciaires dans ce dossier ».

Il ajoute que cet accord comporte « des engagements », dont la nature n’est pas précisée, mais qui s’inscrivent dans le sillage de précédentes mesures visant assurer la sécurité physique et numérique de sa clientèle. Il promet enfin de continuer à « investir dans la protection de ses clients et de leurs données », et de maintenir des rapports constructifs avec les autorités.

Le règlement auquel comporte au moins un volet financier, indique le New York Times : en effet, Uber devra verser 148 millions de dollars, somme qui sera divisée entre les États fédérés et Washington. Le journal indique que cela s’ajoute aux obligations fixées par la Commission fédérale du commerce (FTC) en avril. Celles-ci comportent entre autres des audits sur la sécurité et la confidentialité conduits par des tiers.

Volet européen

Si le spécialiste de la mise en contact entre des passagers et des chauffeurs a clos le volet américain de cette sinistre affaire, le chapitre européen, lui, reste ouvert : sept autorités européennes de protection de la vie privée, dont la Cnil en France, ont monté fin novembre 2017 un groupe de travail sur ce dossier. L’Allemagne, la Belgique, l’Espagne, l’Italie, les Pays-Bas et le Royaume-Uni sont aussi dans le coup.

En l’espèce, ces autorités veulent déterminer la responsabilité d’Uber, l’entreprise ayant pu faire preuve de négligence pour sécuriser les informations personnelles de ses clients. Le fait qu’Uber n’ait pas fait le moindre signalement aux autorités compétentes sur l’existence de ce piratage — alors qu’elle est censée le faire dans des délais courts — constitue un autre grief. Des sanctions pourraient être prises au terme de la procédure.

Parmi les données qui se sont retrouvées dans la nature figurent les noms, numéros de téléphone portable et adresses de courrier électronique des clients. Des vérifications par des tiers n’ont pas permis de déterminer que des informations sensibles, comme les historiques des lieux des courses, les numéros de carte de crédit et de compte bancaire, les numéros de sécurité sociale et les dates de naissance, ont aussi été dérobées.

Cependant, le contenu de ce piratage a été suffisant pour que des tentatives d’hameçonnage naissent, faute d’une communication efficace d’Uber. Au global, la fuite a touché près de 57 millions de personnes, dont plus d’un demi-million de chauffeurs. L’ampleur de l’incident a même fait réagir le gouvernement français, qui a fait part de sa contrariété face au manque de diligence de l’entreprise américaine sur cette affaire.