LA CNIL sanctionne UBER pour atteinte à la réglementation en matière de protection des données à caractère personnel

Le 19 décembre 2018, la formation restreinte de la CNIL délibérait sur la responsabilité de la société UBER dans une affaire de violation de données, et sur la sanction à appliquer (Délibération de la formation restreinte n° SAN-2018-011 du 19 décembre 2018).

En novembre 2017, après une vaine tentative de l’ex-PDG d’étouffer l’affaire, UBER déclarait un an après les faits que deux individus extérieurs à la société avaient accédé aux données de 57 millions d’utilisateurs des services UBER à travers le monde.

De ce fait, l’Assemblée Plénière du G29 a mandaté un groupe de travail appelé « taskforce » afin de coordonner les différentes investigations des autorités.

Le 20 décembre 2018, la CNIL rendait publique sa décision de sanctionner la société UBER à hauteur de 400 000 € pour avoir insuffisamment sécurisé les données des utilisateurs de son service.

LES CIRCONSTANCES DE LA VIOLATION DES DONNEES A CARACTERE PERSONNEL DES UTILISATEURS D’UBER

Le 22 janvier 2018, UBER a été tenu de répondre à un questionnaire visant à clarifier les circonstances de la violation.

En bref, des personnes extérieures à la société ont obtenu l’accès à un espace de travail privé dénommé « GitHub », une plateforme utilisée par les ingénieurs logiciels de la société afin d’y stocker des codes. Sur cette plateforme, les attaquants ont trouvé une clé d’accès inscrite en clair, permettant ainsi d’accéder à la plateforme d’hébergement sur laquelle sont stockées les données à caractère personnel des utilisateurs d’UBER.

Dès lors, il était loisible pour les attaquants d’accéder aux bases de données et de télécharger un nombre important de données.

Suite à l’exposition des faits, la CNIL a désigné un rapporteur afin de détailler les manquements de la plateforme et de prononcer une sanction adaptée.

LA CARACTERISATION D’UN DEFAUT DE SECURISATION DES ACCES AUX DONNES A CARACTERE PERSONNEL DES UTILISATEURS D’UBER

L’article 34 de la loi du 6 janvier 1978 modifiée dispose que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »

La qualification de la société UBER en tant que « responsable de traitement » ne faisant aucun doute, cette dernière est donc soumise à l’obligation de sécurisation des données.

Dès lors, il appartenait à la formation restreinte de la commission de déterminer si la société avait manqué à ses obligations, ou si à l’inverse elle avait mis en place des mesures de sécurité suffisantes. Celle-ci a fondé sa décision sur plusieurs points.

La facilité d’accès à la plateforme GitHub

Tout d’abord, concernant l’accès à la plateforme GitHub, la formation restreinte a estimé qu’elle constituait un outil de travail central et que, de ce fait, l’accès aurait dû être mieux encadré.

Même si la plateforme en elle-même ne permettait pas de stocker les données à caractère personnel des utilisateurs des services UBER, elle permettait néanmoins d’y accéder directement grâce aux clés d’accès présentes sur cette plateforme.

De ce fait, la société UBER avait le devoir de renforcer les mesures de sécurité d’accès à la plateforme.

L’absence de protection des codes d’accès présents sur la plateforme GitHub

La seconde négligence de la société vient du fait que les codes d’accès disponibles sur la plateforme GitHub étaient inscrits en clair, c’est-à-dire qu’ils n’étaient pas protégés. Or, selon la formation restreinte, ne pas mettre en place de mesure de protection autour de tels identifiants permettant d’accéder à un nombre conséquent de données à caractère personnel présente un risque important.

L’absence de filtrage des adresses de connexion

De plus, la formation restreinte déplore l’absence de filtrage des adresses IP. Selon elle et compte tenu de l’importance des données stockées par la société UBER, la mise en place d’un système permettant de filtrer les adresses de connexion afin que ne soient autorisées que les connexions à partir d’adresses IP identifiées était indispensable.

LA DECISION DE CONDAMNATION POUR DEFAUT DE SECURISATION DES ACCES AUX DONNES A CARACTERE PERSONNEL DES UTILISATEURS D’UBER

Après avoir exposé ses arguments, la CNIL a considéré qu’UBER avait manqué à son obligation de sécurisation des données, prévue par l’article 34 de la Loi Informatique et Libertés de 1978. Cette dernière, du fait de l’absence de mesures de sécurité suffisantes mises en place, a fait preuve de négligence et n’a pas pris toutes les précautions utiles afin d’empêcher que des tiers non autorisés aient accès aux données à caractère personnel des utilisateurs des services d’UBER.

La CNIL rappelle par le biais de cette décision l’importance pour le responsable de traitement et le sous-traitant de mettre en place des mesures techniques et organisationnelles permettant de garantir un certain niveau de sécurité des données.

Conformément aux préconisations de son rapporteur, elle condamne la société UBER à une sanction pécuniaire de 400 000 € pour atteinte à la sécurité des données de ses utilisateurs, et décide de la publication de la décision, sans doute dans l’objectif de sensibiliser les acteurs.

Toutefois, il est important de noter que les faits sont intervenus avant l’entrée en vigueur du Règlement Européen pour la Protection des Données (règlement UE 2016/679 du 27 avril 2016) qui vient renforcer en son article 32 l’obligation de sécurité du traitement. Aujourd’hui, tout manquement à ses obligations par un responsable