Uber condamné par la CNIL à 400 000 € d’amende pour n’avoir pas assez sécurisé les données de ses utilisateurs

L’entreprise américaine de VTC avait révélé en novembre 2017 que les données de 57 millions de ses clients avaient été dérobées. Elle avait déjà été condamnée aux Pays-Bas et en Grande-Bretagne pour cela.

La Commission nationale de l’informatique et des libertés (Cnil) vient de condamner Uber à 400 000 € d’amende ce mercredi pour n’avoir assez sécurisé les données de ses utilisateurs. En 2016, les données personnelles de 57 millions d’utilisateurs de la plateforme de VTC avaient été subtilisés. 1,4 millions de ses utilisateurs sont situés en France. La Cnil a estimé que l’attaque aurait pu être évitée «si certaines mesures élémentaires en matière de sécurité avaient été mises en place», comme le cryptage de certaines données. Alors qu’elle risquait une sanction jusqu’à 3 millions d’euros, l’entreprise est ainsi condamnée à 400 000 € d’amende. Elle a deux mois pour porter recours devant le Conseil d’Etat.

Les données concernées étaient les adresses e‐mails et numéros de téléphones de 50 millions de clients et les noms et numéros de 7 millions de chauffeurs selon l’entreprise. Les données bancaires n’auraient pas été subtilisées. Suite à cette affaire, le directeur de la sécurité informatique et l’un de ses adjoints avaient été licenciés.

Cette condamnation résulte d’une action des CNIL européennes qui avaient déjà débouché sur une condamnation de 600 000 € aux Pays‐Bas et de 385 000 £ (425 000 €) en Grande‐Bretagne. D’autres procédures liées à cette affaire sont encore en cours aux Etats‐Unis et dans d’autres pays européens.

Ni l’entreprise américaine ni sa filiale française n’ont pour l’instant réagi.