Collecte d’informations de géolocalisation sans consentement, démarches commerciales abusives par voie électronique, défaut de protection des données personnelles, suivi illégal des adresses IP : l’EPIC (Electronic Privacy Information Center) se montre agressif dans sa plainte déposée contre Uber.
L’entité, qui se présente comme un centre de recherche d’intérêt public centré sur les problématiques de vie privée et de défense des libertés civiles à l’ère numérique, a porté l’affaire auprès de la FTC (Federal Trade Commission, chargée de contrôler les pratiques commerciales sur le territoire américain).
Dans son collimateur, les nouvelles conditions d’utilisation d’Uber, qui doivent entrer en vigueur le 15 juillet prochain. A cette occasion, la société californienne – qui exploite des services de mise en relation de chauffeurs et de passagers sur le marché VTC – se réserverait le droit de collecter « encore davantage d’informations personnelles et de géolocalisation […] même lorsque le service n’est pas en cours d’utilisation ».
La plainte de l’EPIC (document PDF, 23 pages) se concentre sur les États-Unis, où quelque 160 000 conducteurs seraient concernés. Mais l’organisation, qui s’était déjà distinguée voici quelques années en portant le fer contre Google Buzz, ne manque pas de rappeler que 8 millions de personnes dans le monde pourraient être affectées.
Datée du 28 mai 2015, la dernière révision de la politique de confidentialité d’Uber stipule que l’utilisateur « a le contrôle » : lui seul décide s’il veut ou non partager ses données. Et l’application « peut fonctionner » indépendamment de ce choix.
C’est plus compliqué dans la pratique. Difficile d’utiliser le service sans géolocalisation. C’est sans compter les nombreux écueils relevés en la matière par l’EPIC : des données peuvent être collectées sans que l’application soit au premier plan… et la gestion des autorisations pose problème sur Android : impossible, par défaut, de bloquer la géolocalisation pour un service donné.
Ces informations sont au coeur du dispositif God View, grâce auquel le personnel d’Uber peut à tout moment voir où se trouve un conducteur. L’EPIC estime que cet outil, qui a notamment permis de pister une journaliste lors de son reportage sur l’entreprise, est exploité de façon abusive en interne.
La base de données serait par exemple accessible à des stagiaires, ainsi qu’à de simples candidats dans le cadre de leurs entretiens d’embauche. L’un d’entre eux a d’ailleurs admis avoir recherché, « pour s’amuser », les noms de plusieurs connaissances, dont des proches d’hommes politiques.
Ce mode God View, qui avait déjà suscité les critiques en 2011 lors du lancement d’Uber à Chicago (un panneau avait été utilisé pour afficher, pendant plusieurs heures, les trajets en temps réel des utilisateurs du service à New York), est par défaut alimenté grâce aux données remontées par les capteurs GPS.
Mais si ces derniers sont désactivés sur les smartphones des utilisateurs, Uber peut toujours accéder à l’adresse IP des terminaux pour évaluer leur position approximative. Une technique utilisée entre autres pour observer les trajets le vendredi et le samedi soir, les clients n’activant pas toujours leur GPS.
L’EPIC souligne les craintes formulées à cet égard par des experts en sécurité et des parlementaires américains de tous bords. Selon le centre de recherche, l’inquiétude est tout aussi grande chez les utilisateurs finaux, dont cet internaute qui souhaitait davantage d’informations sur les données collectées et auquel Uber a simplement répondu qu’il « [n’avait] pas à s’en soucier, car les données sont chiffrées ».
Les mesures prises par Uber en matière de sécurité seraient justement insuffisantes, à en croire l’EPIC, qui fait référence à cette faille qui a potentiellement exposé, au printemps 2014, les données de 50 000 conducteurs. La vulnérabilité n’a été découverte qu’en septembre et les utilisateurs n’en ont été notifiés qu’en février 2015.
Uber reconnaît par ailleurs pouvoir être amené à stocker des informations dans des pays où les lois relatives à la protection des données « ne sont pas aussi élaborées […] que dans votre pays de résidence ». Or, parmi ces données figurent des adresses e-mail, des historiques de navigation Web, des codes postaux ou encore des numéros de carte bancaire.
Autant d’éléments qui peuvent en outre être communiqués à des tiers qui n’ont pas forcément de lien direct avec le service fourni. La FTC aurait même, selon le média américain Motherboard, reçu des plaintes d’individus bombardés de communications commerciales alors qu’ils n’avaient jamais utilisé le service.
Pointé du doigt par un certain nombre d’utilisateurs, l’envoi de gros volumes de SMS – le mot STOP ne permettant pas d’arrêter la chaîne alors même qu’il le devrait – pourrait violer plusieurs lois fédérales américaines régulant les démarches commerciales par voie téléphonique.
Crédit photo : Jan Kowalski – Shutterstock.com
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…