Accueil Actualités juridiques du village Droit des TIC, informatique, propriété intellectuelle Respect de la vie privée et protection des données personnelles

Vol de données Uber : quelles obligations aurait dû respecter le groupe américain sous l’ère du RGPD ?

Par Florent Gastaud, Data Protection Officer.

1ere Publication

Cet article se veut prospectif. Imaginons l’espace de quelques instants que la fuite de données récemment dévoilée par Uber se soit déroulée postérieurement au 25 mai 2018. C’est une situation qui sera inéluctablement amenée à se reproduire avec d’autres protagonistes.
Partant de ce postulat, le Règlement n°2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) sera dès lors applicable. Il impose de nouvelles obligations à l’ensemble des responsables de traitement en matière de violation de données à caractère personnel. Sous son régime, qu’aurait-dû faire Uber ?

1. Que s’est-il passé ?

La société Uber Technologies Inc. s’est faite dérober les données à caractère personnel de 57 millions de personnes à travers le monde entier [1]. Les personnes concernées sont une partie des clients et chauffeurs partenaires du groupe américain. C’est une fuite massive, de par la quantité de personnes concernées, et singulière, de par la volonté d’Uber de camoufler celle-ci. La société américaine a en effet versé une somme de 100 000 dollars aux hackers, contre leur silence et contre la garantie que les données compromises seraient bien effacées. Ainsi, bien que datant d’octobre 2016, cette fuite n’a été révélé par la société Uber qu’en novembre 2017, soit plus d’un an après les faits.

Selon Uber, les données concernées seraient les noms, prénoms, e-mails et numéros de téléphone des clients [2]. Pour les chauffeurs américains, s’ajoute leur numéro de permis de conduire. Une question semble cependant légitime : comment croire sur parole une société ayant eu la volonté délibérée de camoufler cette fuite de données aux autorités et aux personnes concernées ? Rappelons qu’Uber traite d’autres données personnelles bien plus critiques, de type numéros de carte bancaire, historique des trajets, lieux enregistrés (adresses du domicile, travail, etc.), etc.

2. Quelles règlementations a enfreint Uber ?

Globalement, deux griefs peuvent être reprochés à Uber :

  • la tentative de camouflage de la fuite de données ;
  • une sécurisation insuffisante des traitement de données à caractère personnel.

Toutefois, en fonction des pays - rappelons qu’Uber est implanté mondialement -, les règlementations sont plus ou moins protectrices. Certaines ne fixent d’ailleurs pas d’obligations en matière de notification de violation de données. En France par exemple, il n’incombait pas à Uber de rendre publique la fuite de données ou d’en informer les autorités. En effet, ces obligations s’imposent uniquement, dans des conditions précises et qui diffèrent pour chacun des cas, aux fournisseurs de services de communications électroniques accessibles au public [3], aux prestataires de services de confiance [4]. Autre exemple, en Allemagne, la situation est différente puisque les responsables de traitement sont soumis à une obligation de notification, quelle que soit leur qualité, dès lors que des données sensibles font l’objet d’une fuite [5].

Face aux fuites de données, tous les clients d’Uber ne sont pas égaux. L’un des intérêts du RGPD est d’uniformiser les règles en la matière, au niveau européen tout du moins.

3. Quelles auraient été les obligations d’Uber sous le régime du RGPD ?

3.1. Notification de la violation aux autorités de contrôle

Premier élément notable, en sa qualité de responsable de traitement, Uber aurait eu l’obligation de notifier à l’autorité de contrôle compétente (la Commission Nationale de l’Informatique et des Libertés en France), la violation de données dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance [6].
Le G29 eut l’occasion de préciser la notion de « prise de connaissance » [7] comme étant le moment à compter duquel le responsable de traitement atteint un degré raisonnable de certitude quant au fait que des données à caractère personnel ont été comprises. Dans le cas présent, ce moment est intervenu peu ou prou lorsque les hackeurs ont envoyé une demande de rançon à la société Uber.

En d’autres termes, Uber aurait donc eu l’obligation de notifier dès octobre 2016 la violation de données aux autorités de protection des données compétentes. Des usagers français étant certainement concernés, la CNIL aurait ainsi dû être avisée.

3.2. Notification de la violation aux personnes concernées

Seconde obligation, Uber aurait dû communiquer à l’ensemble des personnes dont les données furent compromises, l’existence de la violation dans les meilleurs délais [8] si celle-ci est susceptible d’engendrer un risque élevé pour leurs droits et libertés. Cette communication aurait notamment dû comprendre :

  • un point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
  • une description des conséquences probables de la violation de données à caractère personnel ;
  • une description des mesures prises, ou que le responsable du traitement propose de prendre, afin de remédier à la violation de données.

En somme, Uber n’aurait pas pu refuser de commenter la fuite de données, comme l’entreprise le fait actuellement, ni même se contenter d’indiquer sur son site « Nous ne pensons pas qu’il soit nécessaire pour les passagers de prendre des mesures » [9]. Elle aurait au contraire dû déployer tous les efforts possibles pour informer et assister les personnes concernées par cette violation afin de diminuer les risques que peut engendrer ladite violation pour leurs droits et libertés.

L’appréciation du « risque élevé pour les droits et libertés des personnes concernées » n’est pas chose aisée. A défaut de disposer de précédent en la matière, il faut là encore se tourner vers les interprétations fournies par la G29 sur cette notion. Ainsi, le groupe de travail européen considère qu’un risque existe lorsque la violation de données peut conduire à un dommage physique, matériel ou moral pour les individus concernés. Des exemples sont donnés comme le risque de discrimination, de fraude, de pertes financières, d’atteinte à la réputation, de vol d’identité, etc. Le G29 considère par ailleurs que ce risque doit être évalué au regard de plusieurs facteurs dont :

  • le type de violation de données ;
  • la nature, la criticité et la quantité de données concernées ;
  • la capacité à identifier à quelle(s) personne(s) sont relatives les données ;
  • la criticité des conséquences de la violation pour les personnes concernées ;
  • si des catégories particulières d’individus sont concernés ;
  • etc.

Dans le cas d’espèce, ce sont principalement des données d’identification (nom, prénom) et de contact (e-mail, numéro de téléphone) qui furent compromises. Bien que ces données puissent ne pas paraître critiques, elles concernent un très grand nombre de personnes, se rattachent directement et aisément à un individu (elles pourraient ainsi être recoupées avec d’autres informations qui auraient fait l’objet d’une violation de données distincte) et ont toutes les chances d’être communiquées par les hackeurs à des tiers non autorisés dont les intentions ne sont pas forcément des plus louables.

Ainsi, ce sont typiquement des données qui pourraient être utilisées dans des campagnes de phishing : en intégrant les données compromises d’une personne concernée (numéro de téléphone, nom, prénom) au sein d’une campagne e-mail, le faussaire aurait bien plus de chances d’obtenir des informations ciblées grâce à une mise en confiance préalable de l’individu réceptionnaire. Celui-ci serait en effet moins vigilant compte tenu des informations fiables détenues sur lui par l’expéditeur du mail.
Au regard des élément suscités, il serait raisonnable de considérer que la violation de données connue par Uber soit considérée comme présentant un risque élevé pour les droits et libertés des personnes concernées.
En d’autres termes, Uber aurait donc eu l’obligation de notifier dès octobre/novembre 2016 la violation de données à chacune des personnes concernées sur le territoire européen. Cette communication aurait dû contenir une description de la violation, les risques engendrés pour les personnes ainsi qu’un point de contact permettant d’obtenir davantage d’informations.

4. Qu’aurait encouru Uber sous le régime du RGPD ?

Que ce soit pour l’absence de notification de la violation telle que prévue aux articles 33 et 34 du RGPD, que pour l’absence de mise en œuvre de mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque tel que prévue à l’article 32, Uber aurait encouru une amende administrative pouvant s’élever jusqu’à 10 000 000 EUR ou, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent (le montant le plus élevé étant retenu) [10].

En outre, toute personne ayant subi un dommage matériel ou moral aurait eu le droit d’obtenir d’Uber réparation du préjudice subi en intentant une action devant la juridiction étatique compétente [11]. En vue de l’obtention de la réparation du préjudice subi, les personnes concernées auraient par ailleurs pu mandater un organisme, une organisation ou une association à but non lucratif, pour qu’il introduise une réclamation en leurs noms [12].

5. L’entreprise américaine aurait-elle été soumise au RGPD ?

Oui et ce pour plusieurs raisons.

D’une part, lorsqu’un utilisateur français s’inscrit sur Uber, il contracte avec Uber B.V., société néerlandaise. Or, le RGPD s’applique aux traitements de données à caractère personnel effectués dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union [13]. Les Pays-Bas étant membre de l’Union européenne, le RGPD s’appliquera automatiquement aux activités de Uber B.V..

En outre, même si l’entreprise américaine souhaitait utiliser sa maison mère américaine pour se soustraire aux dispositions européennes, le principe d’extraterritorialité du RGPD permet d’étendre l’application de ses dispositions à tout responsable de traitement offrant des biens ou des services à des personnes dans l’Union. C’est typiquement le cas du groupe Uber qui propose, via ses applications disponibles dans chacun des pays de l’Union européenne, ses services aux ressortissants de l’UE.

Quel que soit le montage juridique réalisé par le groupe Uber, la société américaine et ses filiales auraient donc été soumises au respect des règles suscitées dans cet article. Ce sera également le cas de toute entreprise connaissant une violation de ses données dans des circonstances comparables à compter du 25 mai 2018.

Florent Gastaud
Data Protection Officer - OVH Group
@florentgastaud
www.florentgastaud.fr

Voir tous les articles
de cet auteur et le contacter.

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article : L’avez-vous apprécié ?

63 votes

Notes :

[1Article du site bloomberg.com, 21 novembre 2017, “Uber Paid Hackers to Delete Stolen Data on 57 Million People”

[2Article publié sur www.uber.com, 21 octobre 2017, « 2016 Data Security Incident »

[6Article 33 du Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE

[7Guidelines on Personal data breach notification under Regulation 2016/679, 3 octobre 2017

[8Article 34 du Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE

[9Article publié sur www.uber.com, 21 octobre 2017, « 2016 Data Security Incident »

[10Article 83 du Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE

[11Article 82 du Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE

[12Article 80 du Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE

[13Article 3 du Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE