La formation restreinte de la Commission nationale de l’informatique et des libertés (CNIL) a rendu une délibération prononçant une sanction pécuniaire de 400.000 € à l’encontre de la société Uber France SAS, décision rendue publique en raison de la nécessité de sensibiliser les responsables de traitement de données à caractère personnel aux risques en matière de sécurité des données dans un contexte de multiplication de ce type d’incidents.

En novembre 2017, Uber Technologie avait révélé une faille de sécurité ayant permis à deux personnes extérieures à la société d’accéder à 57 millions de données par la récupération d’une clé d’accès au serveur via une plateforme de développement utilisée par les ingénieurs de la société Uber.

La délibération n’a pas été prise en application du Règlement 2016/679/UE (RGPD) [1] car les faits sont antérieurs au 25 mai 2018, mais tient compte des dispositions apportées par la loi pour une République numérique du 7 octobre 2016 [2] et notamment la hausse du montant maximum des sanctions (passé de 150 000 euros à 3 millions d’euros). Pour autant, elle est à prendre en considération pour l’avenir, lorsque les plafonds du RGPD (jusqu’à 2 voire 4% du chiffre d’affaires annuel mondial total de l’exercice précédent selon le manquement) seront appliqués.

Ce qu’il faut retenir de la délibération :

Sur la qualification des acteurs en causes : la formation restreinte retient la coresponsabilité des entités Uber B.V (Pays Bas) et Uber Technologies Inc. (Etats-Unis). En effet, si la société UBER B.V est considérée comme responsable du traitement en cause, la Commission relève, en se référant à un avis de l’ancien G29 [3] sur les notions de responsable et de sous-traitant [4], que la société Uber Technologies Inc. excède la marge de manœuvre dont peut disposer un sous-traitant : « la multitude des champs d’action dans lesquels intervient la société Uber Technologies Inc. témoignent du rôle déterminant qui est le sien dans la détermination des finalités et moyens du traitement ».

Il ressort notamment des faits de l’espèce qu’Uber Technologies Inc. :
 est à l’origine de la solution visée par la violation de données, qui a été proposée à l’ensemble des entités du groupe qui n’ont fait que l’adapter aux exigences règlementaires lorsque cela était nécessaire ;
 a géré les conséquences de la violation et pris des mesures suite à cette dernière – telles que la diffusion de l’article ayant révélé son existence ou la rédaction de documents clés en matière de gestion des données à caractère personnel et de directives applicables à toutes les entités du groupe ;

Sur le prononcé de l’amende à l’encontre de Uber France SAS : la formation restreinte reconnaît la coresponsabilité des entités Uber BV et Uber Technologies Inc dans cette affaire, mais prononce une sanction pécuniaire à l’encontre d’Uber France SAS en application de la jurisprudence de la Cour de Justice européenne, et en particulier l’arrêt Wirtschaftsakademie Schleswig-Holstein du 5 juin 2018, aux termes duquel « lorsqu’une entreprise en dehors de l’Union dispose de plusieurs établissements dans différents Etats membres, l’autorité de contrôle d’un Etat membre est habilitée à exercer les pouvoirs que lui confère l’article 28, paragraphe 3 de cette directive [5] à l’égale d’un établissement de cette entreprise »

Sur les manquements en cause : la formation restreinte rappelle au travers de sa délibération les points suivants en matière de sécurité des données (et ce même si de telles mesures impliquent de longs développements et ne concernent pas des données sensibles [6]) :
 l’utilisation de solutions, même si celles-ci ne sont que des solutions de support technique, doit être soumise à des règles de sécurité adaptées aux risques qu’elles peuvent induire. Or, en l’espèce, si la solution ne permettait pas d’accéder aux données des utilisateurs ou aux serveurs directement, des informations transmises ou stockées sur celle-ci le permettait ;
 les habilitations d’accès doivent être supprimées dès le départ d’un salarié ou la fin de mission d’un prestataire afin d’éviter tout risque d’accès distant a posteriori ;
 les clés d’accès (ou identifiants d’accès) ne doivent pas être conservées en clair dans des fichiers ;
 les accès distants doivent être sécurisés par des mesures telles que le filtrage des IP.

Il ressort de cette délibération un premier constat pour les groupes d’envergure mondiale comme Uber, à savoir que l’ingérence des entités globales dans la gestion des entités locales peut aboutir à une coresponsabilité desdites entités, cette ingérence pouvant résulter notamment, comme le relève la formation restreinte, de directives en matière de gestion des traitements de données, de solutions fournies, voire même, pourrait-on supposer, de la fourniture de modèles de clauses contractuelles ou de documents contractuels par la société mère.

Or, et c’est là le second constat, il existe une incertitude concernant les politiques « groupe » de mise en conformité au RGPD et de la désignation d’un DPO « groupe » alors que de telles mesures pourraient laisser percevoir une forme d’ingérence dans la gestion des traitements par les entités locales. La question se pose d’autant plus que le RGPD a eu pour conséquence de tels changements dans la gestion des risques liés aux traitements de données à caractère personnel que nombre de groupes ont favorisé des démarches globales de mise en conformité et une harmonisation de la documentation.

Référence et date : Délibération de la formation restreinte n° SAN-2018-011 du 19 décembre 2018 prononçant une sanction pécuniaire à l’encontre de la société Uber France SAS.

Lire la délibération sur Legifrance

Eloïse Urbain Avocat à la Cour TAoMA Partners www.taoma-partners.fr