Piratage des données de clients français : Uber écope d'une amende de 400 000 euros
Souvenez-vous, c'était il y a un peu plus d'un an.
Un an après le déclenchement de l'affaire, la Commission nationale de l'informatique et des libertés vient de rendre son verdict : Uber a fait preuve d'une relative négligence en ne prenant pas certaines dispositions, qualifiées de « mesures élémentaires », par l'autorité -- qui agissait de manière coordonnée avec six autres autorités européennes de protection de la vie privée, depuis fin 2017.
Par exemple, Uber « n’aurait pas dû stocker en clair » dans le code source de la plateforme Github des identifiants permettant d’accéder au serveur contenant les fameuses données personnelles ni omettre la mise en place d'un système de filtrage des adresses IP pour éviter les accès interdits. Uber aurait aussi dû opter pour de la double authentification pour élever davantage le niveau de sécurité.
En tenant compte des erreurs grossières d'Uber, mais aussi en considérant le nombre de Français et de Françaises qui sont les victimes de ces insuffisances, deux décisions ont été prises : la première, c'est une amende de 400 000 euros à Uber ; la seconde, c'est la publication de cette décision, de façon à rappeler aux entreprises les obligations de sécurité qui pèsent sur leurs épaules.
D'aucuns trouveront peut-être que la sanction prononcée par la CNIL est bien modeste par rapport à la taille de l'entreprise et l'ampleur de l'incident. Il est vrai que ce n'est pas le type de peine qui fera trembler Uber sur ses fondations -- l'entreprise a gagné, en 2016, 6,5 milliards de dollars. 400 000 €, cela correspond à peu près à une demi journée d'activité. Cela étant, la CNIL rappelle que ses pouvoirs ne bénéficiaient pas, au moment des faits, de la mise à jour du Règlement général sur la protection des données (RGPD).
Avant la mise en application du RGPD, le montant de la sanction ne pouvait pas excéder les 3 millions d'euros. Aujourd'hui, elle peut atteindre 20 millions d'euros ou correspondre à 4 % du chiffre d’affaires annuel mondial total de l'organisme, sur la base de l’exercice précédent (sachant que c'est le montant le plus élevé qui sera retenu entre les deux cas de figure).
Un point d'équilibre à trouver
Pourquoi alors la CNIL n'a-t-elle pas prononcé une sanction de 3 millions d'euros ? C'est dans la délibération de l'autorité que quelques éléments de réponse sont donnés : d'abord, parmi les données dérobées, aucune n'est jugée sensible (comme une orientation sexuelle, une préférence politique, une sensibilité religieuse, etc.), c'est-à-dire pouvant déboucher sur une discrimination ou des préjugés.
Ensuite, il n'existe pas de preuve que des dommages effectifs ont eu lieu pour les victimes dont les données personnelles ont été dérobées. Cela ne veut pas dire qu'il n'y en a pas eu ou qu'il n'y en aura jamais : elles peuvent être tout simplement passées sous les radars ou elles n'ont pas encore eu lieu. Un usage malveillant de ces informations peut tout à fait survenir ultérieurement.
C'est donc en tenant compte de ces différents paramètres (RGPD inactif au moment des faits, 1,4 million de victimes françaises, données personnelles dérobées, négligences de la pat d'Uber, mais aussi absence de données sensibles, coopération avec la CNIL, absence de préjudice, communication régulière depuis la nomination du nouveau PDG et mesures prises promptement pour faire cesser la violation) que la CNIL a trouvé le point d'équilibre qui lui semblait adéquat.