Le 22 décembre 2017, la CNIL a adressé aux sociétés UBER TECHNOLOGIES INC. et UBER B.V (« UBER ») « un questionnaire portant notamment sur les circonstances de la violation de données et sur les mesures prises par les sociétés pour assurer la sécurité des données traitées ».

UBER a précisé que les pirates ont obtenu l’accès à un espace de travail privé de la société sur GitHub. GitHub est une plateforme tierce de développement de logiciel sur internet qui était utilisée par les ingénieurs logiciels chez UBER au moment de l’incident pour stocker du code pour la collaboration et le développement de leur plateforme. La société a indiqué que les ingénieurs d’UBER se connectaient à GitHub en utilisant un nom d’utilisateur et un mot de passe configuré par eux-mêmes. Ces identifications prenaient le format d’une adresse email personnelle au titre de nom d’utilisateur ainsi qu’un mot de pass e individuel. Ces dernières sont autant de données à caractère personnel. Elle a précisé que la plateforme était utilisée par les ingénieurs et qu’il n’existait pas de processus de retrait des habilitations lorsqu’un ingénieur quitte la société.

La société a ensuite indiqué que les pirates ont utilisé ces identifiants pour se connecter à la plateforme GitHub et avaient trouvé une clé d’accès inscrite en clair dans un fichier de code source (c’est une négligence qui rappelle fortement la violation de données Dailymotion…). Cette clé d’accès était relative à un compte de service permettant d’accéder à la plateforme d’hébergement où sont stockées les données à caractère personnel des utilisateurs des services UBER.

En ce sens, les pirates, ayant la clef en main, ont pu accéder aux bases de données de la société UBER stockées sur les serveurs, et ainsi télécharger une quantité importante de données personnelles.

UBER a précisé que la violation de données avait concerné 57 millions d’utilisateurs dans le monde dont 1,4 million en France. Parmi ces utilisateurs se trouvaient 1,2 million de passagers et 163 000 conducteurs. La société a précisé que les pirates avaient eu accès aux données suivantes :

  • Nom ;

  • Prénom ;

  • Adresse mail ;

  • Ville ou pays de résidence ;

  • Numéro de téléphone mobile ;

  • Statut des utilisateurs (conducteur, passager ou les deux).

Cependant, rien n’est indiqué sur les données relatives aux trajets/destinations ou encore aux données de paiement.

1. La décision de la CNIL

2. Sur la qualité de responsable du traitement d’UBER technologies de d’UBER B.V.

La société UBER a fait valoir que seule la société UBER B.V peut être considérée comme responsable du traitement et que la société UBER TECHNOLOGIES INC. n’agit qu’en qualité de sous-traitant de la société UBER B.V.

Or, conformément à l’article 3 (I) de la loi du 6 janvier 1978 modifiée « le responsable d’un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens ». De plus, en se basant sur un avis du G29, la CNIL rappelle que « la détermination de la finalité du traitement emporterait systématiquement la qualification de responsable du traitement, la détermination des moyens impliquerait une responsabilité uniquement lorsqu’elle concerne les éléments essentiels des moyens ».

Dans les faits, UBER TECHNOLOGIES INC. :

  • Est le créateur et développeur unique de l’application et de sa plateforme de gestion des courses ;

  • A géré les conséquences de la violation de données ;

  • A révélé l’existence de la violation au public.

Qui plus est, la société UBER B.V n’est pas intervenue au cours de ce processus alors même que la violation de données concernait pour partie des données relatives aux personnes concernées dont la société UBER B.V est censée être le responsable du traitement. Et la CNIL considère, à raison, que « la gestion d’une violation de données est une question attachée à un élément essentiel d’un moyen de traitement, dont le responsable du traitement ne peut être dessaisi ».

C’est donc en parfaite adéquation avec le Règlement général sur la protection des données (« RGPD ») que la CNIL estime que « la multitude des champs d’actions dans lesquels intervient la société UBER TECHNOLOGIES INC. témoignent du rôle déterminant qui est le sien dans la détermination des finalités et moyens du traitement ». En ce sens, les sociétés UBER. B.V et UBER TECHNOLOGIES INC. doivent être « conjointement qualifiées de responsables du traitement ».

1. Sur le manquement à l’obligation d’assurer la sécurité et la confidentialité des données

L’article 34 de la loi du 6 janvier 1978 modifiée dispose que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès .Il n’est pas étonnant qu’UBER ait estimé qu’elle n’avait commis aucun manquement à ses obligations en raison du fait qu’elle avait mis en place des mesures de sécurité suffisantes. »

La CNIL rappelle qu’UBER devait mettre en place, pour optimiser la sécurité, des mesures d’authentification multifactorielles sur Github. De plus, elle estime que l’absence de processus relatif au retrait des habilitations des anciens ingénieurs est constitutive d’une négligence grave en raison de l’impossibilité, pour UBER, de garantir que des personnes ayant quitté la société ne continuaient pas d’accéder aux projets développés sur Github.

D’ailleurs, la CNIL insiste sur le caractère impératif que les identifiants de connexion aux serveurs contenant des données personnelles ne soient pas stockés dans un fichier qui ne serait pas protégé comme dans des fichiers codes par exemple.

A ce titre, la CNIL rappelle aussi que la sécurisation de la connexion à distance aux serveurs utilisés par une entreprise est une précaution élémentaire pour assurer la confidentialité du traitement. Cette sécurisation pouvant se matérialiser, au minimum, par un filtrage des adresses IP lors de la connexion à distance. La CNIL précise aussi que ces mesures de sécurité sont de l’ordre de l’obligatoire quand un volume important de données personnelles est concerné.

De ce fait, la CNIL confirme aussi au passage qu’elle peut exprimer l’état minimal de l’art en matière de sécurité…

  • Une sanction dure mais motivée sur tous les plans

Aux termes de l’article 45 (I) et de l’article 47 (1 et 2) de la loi du 6 janvier 1978 modifiée, « la CNIL a prononcé à l’encontre de la société UBER FRANCE SAS, agissant en tant qu’établissement des sociétés UBER INC et UBER BV, une sanction pécuniaire d’un montant de 400 000 euros ».

UBER a tenté de contester cette sanction en arguant :

  • que les données concernées par la violation ne sont pas des données sensibles ;

  • qu’elle a réagi promptement en prenant les mesures nécessaires afin de limiter l’impact de la violation ;

  • qu’elle a communiqué l’existence de la violation au public ;

  • que la violation n’a causé aucun préjudice aux personnes concernées et qu’elle a coopéré avec la CNIL.

A cela la CNIL répond que le fait que les données accessibles ne contiennent aucune donnée « sensible » est sans influence sur la caractérisation du manquement à l’obligation d’assurer la sécurité des données personnelles traitées par le responsable du traitement.

La CNIL souligne aussi que la violation de données a concerné un volume très important de personnes concernées (1,4 million d’utilisateurs en France) et que les données prélevées, sans être « sensibles » restent non négligeables et identifiables (nom, prénom, adresse mail, la ville ou pays de résidence et numéro de téléphone mobile).

Par ailleurs, très pragmatiquement, la CNIL énonce que, même si aucun dommage subi par les personnes à la suite de la violation de données n’a été rapporté à ce jour, la preuve de l’absence totale de dommage ne peut être invoquée par UBER dans la mesure où la société ne peut pas garantir un usage ultérieur des données par les pirates.

Au-delà, l’esprit du RGPD est bien de construire le marché à renforcer la sécurité des données ; il importe donc peu, s’agissant du principe de la sanction, que les personnes concernées aient subi ou non des préjudices effectifs dans la mesure où l’exposition de leurs données à caractère personnel en constitue déjà un.

Il est important de noter que la CNIL a voulu donner un exemple dans la mesure où, au regard de la gravité des manquements constatés chez UBERdu contexte actuel dans lequel se multiplient les incidents de sécurité et de la nécessité de sensibiliser les responsables du traitement et les internautes quant aux risques pesant sur la sécurité des données, elle a considéré de rendre publique sa décision, conformément à l’article 46 de la loi du 6 janvier 1978.

UBER, souvent cité comme exemple de la « nouvelle économie », qualifiée avec plus ou moins de bonheur de « numérique », « digitales »  ou encore « collaborative », est l’archétype de ces nouvelles plateformes largement fondées sur la collecte et l’exploitation de données à caractère personnel : il est donc logique que les autorités s’assurent de sa pleine conformité aux lois et règlement, relatifs ici au droit du travail, là à la protection des données…

Avec cette décision, on remarque aussi que la CNIL sanctionne en se décomplexant progressivement. Même si elle ne se fonde pas encore sur le RGPD(les faits étant antérieurs à son entrée en vigueur), elle s’inscrit dans un élan européen (après les décisions portugaise et italienne) visant à responsabiliser les responsables du traitement. D’autant plus, comme le souligne la CNIL, dans un contexte où les violations de données se multiplient (Facebook, Orange, la NASA, Marriott,…).