Uber piraté : vers une enquête conjointe des CNIL européennes
La CNIL et ses homologues européennes pourraient, sous l’égide du groupe de travail Article 29, coordonner leurs investigations consécutives au piratage d’Uber.
Le vol de données massif subi par Uber fera-t-il l’objet d’une enquête conjointe des CNIL européennes ?
Ces dernières en discuteront, les 28 et 29 novembre, dans le cadre de leur réunion mensuelle sous l’égide du groupe de travail Article 29 (ainsi nommé du fait que ses missions sont définies pour partie par l’article 29 de la directive 95/46/CE).
Elles ont déjà coordonné leurs travaux d’investigation dans des dossiers concernant Google, Facebook, Microsoft ou encore Yahoo.
Depuis l’officialisation du piratage mardi 21 novembre, certaines se sont montrées plus réactives, à l’image de l’Information Commissioner’s Office.
Émettant de « sérieux doutes » sur l’éthique d’Uber, l’autorité britannique a lancé une enquête.
Son homologue italienne a fait de même, regrettant qu’une « multinationale […] de l’envergure d’Uber ait mis en place des mesures de sécurité inadéquates ».
En France, la Commission nationale de l’informatique et des libertés n’a pas encore officiellement amorcé de procédure.
Une exclu pour SoftBank ?
Les lignes bougent davantage aux Pays-Bas, où Microsoft et Facebook sont déjà scrutés pour leurs politiques respectives de gestion des données.
Sur place, les sociétés victimes d’un piratage ont 72 heures pour le signaler à partir du moment où elles en ont connaissance. Elles s’exposent, en cas de manquement, à une amende d’un montant maximal de 820 000 euros.
Dans l’affaire Uber, la CNIL néerlandaise en est encore à évaluer l’ampleur de l’incident. Elle entend, selon le Financial Times, déterminer si chacune des parties devant être alertées l’a effectivement été, et à temps.
En toile de fond, l’entrée en vigueur, en mai 2018, du règlement européen sur la protection des données (RGPD). Sous son régime, les entreprises qui gèrent des données à caractère personnel rattachées à des citoyens de l’UE devront communiquer leurs failles de sécurité sous 72 heures, sous peine d’une sanction pécuniaire pouvant atteindre 4 % de leur chiffre d’affaires annuel.
Survenu en octobre 2016, l’incident a entraîné la fuite d’informations associées à 7 millions de chauffeurs et 50 millions de passagers. Ces données se trouvaient sur un espace cloud auquel les pirates ont accédé grâce à des identifiants trouvés sur un dépôt GitHub exploité par les équipes d’ingénieurs d’Uber.
Le CEO Dara Khosrowshahi affirmait, ce 21 novembre, n’avoir été que « récemment » mis au courant. En réalité, il aurait été, à en croire le Wall Street Journal, averti à la mi-septembre, deux semaines environ après sa prise de fonction en remplacement de Travis Kalanick.
Il en aurait parlé à SoftBank voilà déjà plusieurs semaines, dans le cadre des discussions menées avec le conglomérat japonais sur une opération de financement qui pourrait atteindre les 10 milliards de dollars.