La société UBER a révélé, fin 2017, qu’une faille de sécurité avait permise à deux individus de dérober les données personnelles de 57 millions d’utilisateurs, dont 1.4 millions situés en France. À la suite de cette révélation, une enquête a été menée par le groupe G29 comprenant toutes les CNIL européennes.
Puis, la formation restreinte de la CNIL s’est réunie. Cette dernière a révélé que cette faille de sécurité aurait pu être évitée, si la société avait mis en place des mesures de sécurité efficaces. Elle dénonce le fait que la société n’ait pas prévu une mesure forte d’authentification à la plateforme Github, et qu’elle n’ait pas prévu un autre moyen de stocker les informations que dans un code source au sein de cette plateforme. Elle dénonce également le fait que la société n’ait pas mis en place un système de filtrage des adresses IP.
Un manquement à son obligation de sécurité des données personnelles a alors été caractérisé. La société aurait du mettre en place une politique de sécurité plus efficiente dans la mesure où elle traite de millions de données, afin de permettre à ses utilisateurs une protection des données efficace.
La CNIL a donc sanctionné UBER d’une amende de 400 000 euros.
Source : cnil.fr
