Uber vient d’écoper d’une double amende en Europe pour avoir, lors d’une intrusion intervenue en 2016 sur son logiciel de mise en relation entre conducteurs et passagers, exposé les coordonnées de ses utilisateurs. Le hack, qui avait concerné au total 57 millions de personnes dans le monde, avait révélé les noms, numéros de téléphone et adresses e-mails des chauffeurs VTC et des clients. Aux Pays-Bas, où 174 000 utilisateurs d'Uber avaient été affectées, la DPA -autorité de protection des données - a infligé une amende de 600 000 euros à la société américaine. Tandis qu’outre-Manche, où les données de 2,7 millions d'utilisateurs ont été compromises, l'ICO - Information Commissioner's Office - a décidé d’une amende de 434 000 euros à l'encontre de la plateforme web en violation d’une des dispositions du Data Protection Act 1998.
Dans ce dossier, il est non seulement reproché à Uber d’avoir failli à protéger correctement ses systèmes informatiques, mais également de s’être montré négligent vis-à-vis de ses utilisateurs et de leurs données. « Ce n’était pas seulement un manquement à sérieux sur la sécurité des données de la part d’Uber, mais aussi un complet manque de respect pour les clients et conducteurs dont les données ont été volées », écrit dans un communiqué Steve Eckersley, directeur des enquêtes de l’ICO. « A ce moment-là, aucune mesure n’a été prise pour informer qui que ce soit affecté par l’intrusion ou pour offrir de l’aide ou du support. Cela les rendait vulnérables », souligne-t-il.
Une amende relative à un fait pré RGPD
Uber a indiqué qu’il avait changé ses pratiques à la suite de cette intrusion et recruté un responsable de la protection des données. On peut s’étonner du montant relativement modéré des amendes qu’il a reçues, compte-tenu du manquement et du volume de données compromis, mais l’intrusion a eu lieu avant l’entrée en vigueur du RGPD. Le règlement européen pour la protection des données personnelles prévoit de son côté que les sanctions peuvent s’élever à 4% du chiffre d’affaires mondial de l’exercice fiscal écoulé de l’entreprise incriminée. Les premières amendes au titre du RGPD ont commencé à être infligées, la 1ère de 400 000 € à un hôpital portugais au début du mois, un autre de 20 000 € la semaine dernière au réseau social allemand Knuddels.