Cette décision de la Cnil est rendue publique afin de sensibiliser les entreprises.

En 2017, Uber a reconnu que les données personnelles de 57 millions d'utilisateurs à travers le monde ont été piratées par deux hackers. L'affaire avait fait grand bruit, et plus d'un an après, la Cnil prononce l'amende de 400 000 euros à l'encontre d'Uber France SAS.

La Cnil - commission nationale de l'informatique et des libertés - a créé un groupe de travail afin de retracer les différentes étapes de l'attaque des hackers. Suite aux investigations, la Cnil estime que "cette attaque n’aurait pu aboutir si certaines mesures élémentaires en matière de sécurité avaient été mises en place". Selon la Cnil, Uber aurait pu sécuriser ses systèmes en incluant des étapes d'authentification supplémentaires et en filtrant les adresses IP de ses ingénieurs. 

En France, 1,4 million de Français sont concernés par cette attaque. La Cnil estime que la société américaine a manqué à son obligation de sécurité des données personnelles et doit donc passer à la caisse. Cela ne changera en rien la vie des victimes (chauffeurs et clients), dont les données personnelles (nom, prénom, numéro de téléphone, email) sont passées entre les mains des pirates. En novembre 2018, l'équivalent de la Cnil aux Pays-Bas a infligé une amende de 600 000 euros à Uber. Au Royaume-Uni, l'amende s'élève à un peu plus de 400 000 euros.

Pour rappel, ce piratage a eu lieu en 2016, et Uber a payé les pirates pour qu'ils ne révèlent pas l'affaire à la presse et pour qu'ils effacent les données dérobées. Avec le nouveau RGPD (règlement européen sur la protection des données), les autorités européennes comme la Cnil pourront infliger des amendes plus sévères allant jusqu'à 20 millions d'euros et 4 % du chiffre d'affaires.

 
'
Source: CNIL