|
[well type= » »][icon type= »fa fa-cube » color= »#dd3333″] Réflexe juridique
L’absence de procédure relative au retrait des habilitations des anciens développeurs d’une société à accéder à une plateforme peut constituer une négligence importante de la part de la société (responsable d’un traitement de données personnelles) puisque cette dernière est dans l’impossibilité de garantir que des personnes ayant quitté la société ne continueront pas à accéder aux projets développés. [/well]
57 millions d’utilisateurs concernés
On se souvient qu’en 2017, deux hackers avaient accédé aux données de 57 millions d’utilisateurs des services UBER à travers le monde. La violation des données avait été rendue possible par le biais de la plateforme GitHub utilisée par les ingénieurs d’UBER. Conformément au RGDP, la société avait adressé un courrier à la Présidente du Groupe de travail de l’article 29 sur la protection des données l’informant des circonstances de la violation de données et de sa volonté de coopérer avec toutes les autorités compétentes sur cette affaire.
Sanction CNIL de 400 000 euros
A l’issue de son instruction, la CNIL a notifié à UBER France (et non UBER BV) une sanction pécuniaire de 400.000 euros. La CJUE a considéré dans son arrêt Wirtschaftsakademie Schleswig-Holstein GmbH du 5 juin 2018 que lorsqu’une entreprise établie en dehors de l’Union dispose de plusieurs établissements dans différents États membres, l’autorité de contrôle d’un Etat membre est habilitée à exercer les pouvoirs que lui confère l’article 28, paragraphe 3, de cette directive à l’égard d’un établissement de cette entreprise situé sur le territoire de cet Etat membre alors même que, en vertu de la répartition des missions au sein du groupe, d’une part, cet établissement est chargé uniquement de la vente d’espaces publicitaires et d’autres activités de marketing sur le territoire dudit Etat membre. D’autre part, la responsabilité exclusive de la collecte et du traitement des données à caractère personnel incombe, pour l’ensemble du territoire de l’Union, à un établissement situé dans un autre Etat membre.
Cela implique par conséquent que, dès lors qu’un pouvoir dont une autorité de contrôle d’un État membre souhaite faire usage entre dans le champ de cet article, il peut être exercé à l’égard de l’établissement du responsable de traitement situé sur le territoire de cet État membre, quel que soit le type de pouvoir envisagé.
Manquement à l’obligation d’assurer la sécurité des données
L’article 34 de la loi du 6 janvier 1978 modifiée dispose que le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès .
S’agissant de la sécurisation de l’accès à la plateforme GitHub, cette dernière constituait un outil de travail central dans le développement des activités de la société, dont l’accès aurait dû être encadré par des règles de sécurité adéquates. En l’espèce, nonobstant la recommandation de la plateforme GitHub, il revenait bien à la société, en tant que responsable de traitement, d’adopter des règles à même de garantir la sécurité des informations stockées sur GitHub qui, si elles ne constituaient pas en elles-mêmes des données à caractère personnel (il s’agissait des clés d’accès aux serveurs) permettaient en revanche d’accéder directement à une grande quantité de données relatives aux utilisateurs du service UBER, puisque ces données étaient conservées sur les serveurs.
L’absence de processus relatif au retrait des habilitations des anciens ingénieurs d’UBER a constitué une négligence importante puisque la société était dans l’impossibilité de garantir que des personnes ayant quitté la société ne continuaient pas d’accéder aux projets développés sur Github.
Ensuite, s’agissant de la présence en clair d’identifiants d’accès aux serveurs, dans du code source stocké sur la plateforme GitHub, la CNIL a rappelé qu’en matière d’authentification, il est important de veiller à ce que des identifiants permettant de se connecter de manière sécurisée à des serveurs contenant une grande quantité de données à caractère personnel ne puissent pas être divulgués. Il est donc impératif que de tels identifiants ne soient pas stockés dans un fichier qui ne serait pas protégé.
Compte tenu du nombre très important de personnes dont les données personnelles sont conservées, la mise en place d’un système de filtrage des adresses IP, quand bien même cela nécessitait un long développement, constituait un effort nécessaire qui aurait dû être planifié dès le début de l’utilisation des services. La société UBER a donc fait preuve de négligence en ne mettant pas en place certaines mesures élémentaires de sécurité. |
→ Questions / Réponses juridiques
Quelle négligence a été identifiée concernant les anciens développeurs d’UBER ?L’absence de procédure pour retirer les habilitations des anciens développeurs d’UBER a été identifiée comme une négligence majeure. Cette situation a mis en lumière le fait que la société, en tant que responsable du traitement des données personnelles, ne pouvait pas garantir que des personnes ayant quitté l’entreprise n’avaient plus accès aux projets développés. Cette négligence est particulièrement préoccupante dans le contexte de la protection des données, car elle expose potentiellement des informations sensibles à des individus qui ne devraient plus y avoir accès. En effet, sans un processus clair pour gérer les accès, UBER a laissé la porte ouverte à des violations de données. Quels événements ont conduit à la sanction de 400 000 euros par la CNIL ?La sanction de 400 000 euros infligée par la CNIL à UBER France découle d’une violation de données survenue en 2017, où des hackers ont accédé aux informations de 57 millions d’utilisateurs. Cette violation a été facilitée par l’utilisation de la plateforme GitHub par les ingénieurs d’UBER. La CNIL a considéré que la société n’avait pas pris les mesures nécessaires pour sécuriser les données, ce qui a conduit à cette sanction. De plus, la CJUE a précisé que les autorités de contrôle d’un État membre peuvent exercer leurs pouvoirs sur des établissements d’entreprises situées en dehors de l’Union, renforçant ainsi la responsabilité d’UBER en matière de protection des données. Quelles obligations pèsent sur le responsable du traitement des données ?Selon l’article 34 de la loi du 6 janvier 1978 modifiée, le responsable du traitement des données est tenu de prendre toutes les précautions nécessaires pour assurer la sécurité des données. Cela inclut la prévention de l’accès non autorisé, la déformation ou l’endommagement des données. Dans le cas d’UBER, la sécurisation de l’accès à la plateforme GitHub était déterminante, car elle contenait des informations sensibles. La société devait mettre en place des règles de sécurité adéquates pour protéger les données, ce qu’elle n’a pas fait, entraînant ainsi des conséquences graves. Comment UBER a-t-elle failli à ses obligations de sécurité ?UBER a failli à ses obligations de sécurité en ne mettant pas en place un processus pour retirer les habilitations des anciens employés. Cela a permis à des personnes ayant quitté l’entreprise de continuer à accéder aux projets sur GitHub. De plus, la présence d’identifiants d’accès en clair dans le code source sur GitHub a été une autre négligence. La CNIL a souligné l’importance de protéger ces identifiants pour éviter toute divulgation non autorisée, ce qui aurait pu compromettre la sécurité des données personnelles des utilisateurs. Quelles mesures de sécurité auraient dû être mises en place par UBER ?UBER aurait dû mettre en place plusieurs mesures de sécurité essentielles pour protéger les données personnelles. Cela inclut l’établissement d’un processus clair pour retirer les accès des anciens employés, garantissant ainsi qu’ils ne puissent plus accéder aux informations sensibles. En outre, la société aurait dû s’assurer que les identifiants d’accès aux serveurs ne soient pas stockés dans des fichiers non protégés. La mise en place d’un système de filtrage des adresses IP aurait également été une mesure proactive pour renforcer la sécurité, même si cela nécessitait un développement supplémentaire. |
Laisser un commentaire