Cette amende infligée par la Cnil fait suite au piratage en 2016 des données personnelles de 57 millions d'utilisateurs à travers le monde, dont 1,4 million en France.

La Commission nationale de l'informatique et des libertés (Cnil) a infligé, jeudi 20 décembre, 400 000 euros d'amende à Uber pour avoir "insuffisamment sécurisé les données des utilisateurs" de son service de VTC.

En novembre 2017, Uber avait révélé que les données de 57 millions de ses utilisateurs, clients ou chauffeurs, avaient été piratées. La Cnil a estimé que l'attaque aurait pu être évitée "si certaines mesures élémentaires en matière de sécurité avaient été mises en place". Après une enquête coordonnée au niveau européen, la Cnil a jugé que la société "avait manqué à son obligation de sécurité des données personnelles", explique la commission dans un communiqué.

Les pirates avaient accédé aux données via la plateforme collaborative de développement "Github". La Cnil a jugé qu'Uber aurait dû prévoir "une mesure d'authentification forte" pour ses ingénieurs qui se connectent à cette plateforme, comme "un identifiant et un mot de passe puis un code secret envoyé sur un téléphone". Elle considère également qu'Uber "n'aurait pas dû stocker en clair au sein du code source" de cette plateforme "des identifiants permettant d'accéder au serveur", ou encore qu'elle aurait dû "mettre en place un système de filtrage des adresses IP" pour l'accès aux serveurs "contenant les données des utilisateurs".

Un accord amiable à 148 millions de dollars aux Etats-Unis

Uber avait en réalité été informé de ce piratage dès novembre 2016, par les pirates eux-mêmes. La firme leur avait alors donné 100 000 dollars pour qu'ils ne le révèlent pas et effacent les données dérobées. Cible de diverses procédures après ce piratage, Uber avait conclu en septembre dernier un accord à l'amiable de 148 millions de dollars avec les autorités américaines.

Il s'agit de l'amende la plus importante jamais infligée dans le cadre d'un accord relatif à une violation de données. En Europe, Uber avait été mis à l'amende fin novembre aux Pays-Bas (600 000 euros) et en Grande-Bretagne (435 000 euros) pour avoir dissimulé le piratage.