Données personnelles

Sécurité des données : UBER sanctionné | 11 février 2019

[well type= » »][icon type= »fa fa-cube » color= »#dd3333″] Réflexe juridique  

L’absence de procédure relative au retrait des habilitations des anciens développeurs d’une société à accéder à une plateforme peut constituer une négligence importante de la part de la société (responsable d’un traitement de données personnelles) puisque cette dernière est dans l’impossibilité de garantir que des personnes ayant quitté la société ne continueront pas à accéder aux projets développés. [/well]

57 millions d’utilisateurs concernés

On se souvient qu’en 2017, deux hackers avaient accédé aux données de 57 millions d’utilisateurs des services UBER à travers le monde.  La violation des données avait été rendue possible par le biais de la plateforme GitHub utilisée par les ingénieurs d’UBER. Conformément au RGDP, la société avait adressé un courrier à la Présidente du Groupe de travail de l’article 29 sur la protection des données l’informant des circonstances de la violation de données et de sa volonté de coopérer avec toutes les autorités compétentes sur cette affaire.

Sanction CNIL de 400 000 euros

A l’issue de son instruction, la CNIL a notifié à UBER France (et non UBER BV) une sanction pécuniaire de 400.000 euros. La CJUE a considéré dans son arrêt Wirtschaftsakademie Schleswig-Holstein GmbH du 5 juin 2018 que lorsqu’une entreprise établie en dehors de l’Union dispose de plusieurs établissements dans différents États membres, l’autorité de contrôle d’un Etat membre est habilitée à exercer les pouvoirs que lui confère l’article 28, paragraphe 3, de cette directive à l’égard d’un établissement de cette entreprise situé sur le territoire de cet Etat membre alors même que, en vertu de la répartition des missions au sein du groupe, d’une part, cet établissement est chargé uniquement de la vente d’espaces publicitaires et d’autres activités de marketing sur le territoire dudit Etat membre. D’autre part, la responsabilité exclusive de la collecte et du traitement des données à caractère personnel incombe, pour l’ensemble du territoire de l’Union, à un établissement situé dans un autre Etat membre.

Cela implique par conséquent que, dès lors qu’un pouvoir dont une autorité de contrôle d’un État membre souhaite faire usage entre dans le champ de cet article, il peut être exercé à l’égard de l’établissement du responsable de traitement situé sur le territoire de cet État membre, quel que soit le type de pouvoir envisagé.

Manquement à l’obligation d’assurer la sécurité des données

L’article 34 de la loi du 6 janvier 1978 modifiée dispose que le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès .

S’agissant de la sécurisation de l’accès à la plateforme GitHub, cette dernière constituait un outil de travail central dans le développement des activités de la société, dont l’accès aurait dû être encadré par des règles de sécurité adéquates. En l’espèce, nonobstant la recommandation de la plateforme GitHub, il revenait bien à la société, en tant que responsable de traitement, d’adopter des règles à même de garantir la sécurité des informations stockées sur GitHub qui, si elles ne constituaient pas en elles-mêmes des données à caractère personnel (il s’agissait des clés d’accès aux serveurs) permettaient en revanche d’accéder directement à une grande quantité de données relatives aux utilisateurs du service UBER, puisque ces données étaient conservées sur les serveurs.

L’absence de processus relatif au retrait des habilitations des anciens ingénieurs d’UBER a constitué une négligence importante puisque la société était dans l’impossibilité de garantir que des personnes ayant quitté la société ne continuaient pas d’accéder aux projets développés sur Github.

Ensuite, s’agissant de la présence en clair d’identifiants d’accès aux serveurs, dans du code source stocké sur la plateforme GitHub, la CNIL a rappelé qu’en matière d’authentification, il est important de veiller à ce que des identifiants permettant de se connecter de manière sécurisée à des serveurs contenant une grande quantité de données à caractère personnel ne puissent pas être divulgués. Il est donc impératif que de tels identifiants ne soient pas stockés dans un fichier qui ne serait pas protégé.

Compte tenu du nombre très important de personnes dont les données personnelles sont conservées, la mise en place d’un système de filtrage des adresses IP, quand bien même cela nécessitait un long développement, constituait un effort nécessaire qui aurait dû être planifié dès le début de l’utilisation des services. La société UBER a donc fait preuve de négligence en ne mettant pas en place certaines mesures élémentaires de sécurité.

[toggles class= »yourcustomclass »]

[toggle title= »Télécharger la Décision »]Télécharger [/toggle]

[toggle title= »Contrat sur cette thématique »]Vous disposez d’un modèle de document juridique sur cette thématique ? Besoin d’un modèle ? Complétez vos revenus en le vendant sur Uplex.fr, la 1ère plateforme de France en modèles de contrats professionnels[/toggle]

[toggle title= »Vous avez une expertise dans ce domaine ? »]Référencez votre profil sur Lexsider.com, la 1ère plateforme de mise en relation gratuite Avocats / Clients[/toggle]

[toggle title= »Poser une Question »]Posez une Question Juridique sur cette thématique, la rédaction ou un abonné vous apportera une réponse en moins de 48h.[/toggle]

[toggle title= »E-réputation | Surveillance de marques »]Surveillez et analysez la réputation d’une Marque (la vôtre ou celle d’un concurrent), d’une Personne publique (homme politique, acteur, sportif …) sur tous les réseaux sociaux (Twitter, Facebook …). Testez gratuitement notre plateforme de Surveillance de Marque et de Réputation numérique.[/toggle]

[toggle title= »Paramétrer une Alerte »]Paramétrez une alerte de Jurisprudence sur ce thème pour être informé par email lorsqu’une décision est rendue sur ce thème[/toggle]

[/toggles]

Haut
error: Content is protected !!