L’essentiel : L’absence de procédure pour retirer les habilitations des anciens développeurs d’UBER a révélé une négligence significative de la société, compromettant la sécurité des données personnelles. En 2017, des hackers ont exploité cette faille, accédant aux informations de 57 millions d’utilisateurs via GitHub. La CNIL a sanctionné UBER France de 400 000 euros pour manquement à l’obligation de sécurité des données, soulignant l’importance de protéger les identifiants d’accès aux serveurs. La société n’a pas mis en place de mesures adéquates, telles qu’un filtrage des adresses IP, pour sécuriser les informations sensibles, exposant ainsi des données critiques.

L’absence de procédure relative au retrait des habilitations des anciens développeurs d’une société à accéder à une plateforme peut constituer une négligence importante de la part de la société (responsable d’un traitement de données personnelles) puisque cette dernière est dans l’impossibilité de garantir que des personnes ayant quitté la société ne continueront pas à accéder aux projets développés. 

57 millions d’utilisateurs concernés

On se souvient qu’en 2017, deux hackers avaient accédé aux données de 57 millions d’utilisateurs des services UBER à travers le monde.  La violation des données avait été rendue possible par le biais de la plateforme GitHub utilisée par les ingénieurs d’UBER. Conformément au RGDP, la société avait adressé un courrier à la Présidente du Groupe de travail de l’article 29 sur la protection des données l’informant des circonstances de la violation de données et de sa volonté de coopérer avec toutes les autorités compétentes sur cette affaire.

Sanction CNIL de 400 000 euros

A l’issue de son instruction, la CNIL a notifié à UBER France (et non UBER BV) une sanction pécuniaire de 400.000 euros. La CJUE a considéré dans son arrêt Wirtschaftsakademie Schleswig-Holstein GmbH du 5 juin 2018 que lorsqu’une entreprise établie en dehors de l’Union dispose de plusieurs établissements dans différents États membres, l’autorité de contrôle d’un Etat membre est habilitée à exercer les pouvoirs que lui confère l’article 28, paragraphe 3, de cette directive à l’égard d’un établissement de cette entreprise situé sur le territoire de cet Etat membre alors même que, en vertu de la répartition des missions au sein du groupe, d’une part, cet établissement est chargé uniquement de la vente d’espaces publicitaires et d’autres activités de marketing sur le territoire dudit Etat membre. D’autre part, la responsabilité exclusive de la collecte et du traitement des données à caractère personnel incombe, pour l’ensemble du territoire de l’Union, à un établissement situé dans un autre Etat membre.

Cela implique par conséquent que, dès lors qu’un pouvoir dont une autorité de contrôle d’un État membre souhaite faire usage entre dans le champ de cet article, il peut être exercé à l’égard de l’établissement du responsable de traitement situé sur le territoire de cet État membre, quel que soit le type de pouvoir envisagé.

Manquement à l’obligation d’assurer la sécurité des données

L’article 34 de la loi du 6 janvier 1978 modifiée dispose que le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès .

S’agissant de la sécurisation de l’accès à la plateforme GitHub, cette dernière constituait un outil de travail central dans le développement des activités de la société, dont l’accès aurait dû être encadré par des règles de sécurité adéquates. En l’espèce, nonobstant la recommandation de la plateforme GitHub, il revenait bien à la société, en tant que responsable de traitement, d’adopter des règles à même de garantir la sécurité des informations stockées sur GitHub qui, si elles ne constituaient pas en elles-mêmes des données à caractère personnel (il s’agissait des clés d’accès aux serveurs) permettaient en revanche d’accéder directement à une grande quantité de données relatives aux utilisateurs du service UBER, puisque ces données étaient conservées sur les serveurs.

L’absence de processus relatif au retrait des habilitations des anciens ingénieurs d’UBER a constitué une négligence importante puisque la société était dans l’impossibilité de garantir que des personnes ayant quitté la société ne continuaient pas d’accéder aux projets développés sur Github.

Ensuite, s’agissant de la présence en clair d’identifiants d’accès aux serveurs, dans du code source stocké sur la plateforme GitHub, la CNIL a rappelé qu’en matière d’authentification, il est important de veiller à ce que des identifiants permettant de se connecter de manière sécurisée à des serveurs contenant une grande quantité de données à caractère personnel ne puissent pas être divulgués. Il est donc impératif que de tels identifiants ne soient pas stockés dans un fichier qui ne serait pas protégé.

Compte tenu du nombre très important de personnes dont les données personnelles sont conservées, la mise en place d’un système de filtrage des adresses IP, quand bien même cela nécessitait un long développement, constituait un effort nécessaire qui aurait dû être planifié dès le début de l’utilisation des services. La société UBER a donc fait preuve de négligence en ne mettant pas en place certaines mesures élémentaires de sécurité.

Télécharger 

Q/R juridiques soulevées :

Pourquoi l’absence de procédure de retrait des habilitations est-elle problématique ?

L’absence de procédure relative au retrait des habilitations des anciens développeurs d’une société à accéder à une plateforme représente une négligence significative.

Cette négligence empêche la société, responsable du traitement des données personnelles, de garantir que des personnes ayant quitté l’entreprise ne continuent pas à accéder aux projets développés.

Cela soulève des préoccupations majeures en matière de sécurité des données, car des accès non autorisés peuvent entraîner des violations de données, compromettant ainsi la confidentialité et l’intégrité des informations sensibles.

Quel incident a impliqué 57 millions d’utilisateurs d’UBER ?

En 2017, un incident majeur a eu lieu lorsque deux hackers ont réussi à accéder aux données de 57 millions d’utilisateurs des services UBER à travers le monde.

Cette violation des données a été facilitée par l’utilisation de la plateforme GitHub par les ingénieurs d’UBER.

Suite à cet incident, UBER a informé la Présidente du Groupe de travail de l’article 29 sur la protection des données, conformément au RGPD, de la situation et de sa volonté de coopérer avec les autorités compétentes.

Quelle sanction a été infligée à UBER par la CNIL ?

La CNIL a infligé à UBER France une sanction pécuniaire de 400 000 euros à l’issue de son instruction.

Cette décision a été fondée sur le fait que l’autorité de contrôle d’un État membre peut exercer ses pouvoirs sur un établissement d’une entreprise, même si celle-ci est établie en dehors de l’Union.

Cela signifie que la responsabilité de la collecte et du traitement des données personnelles peut incomber à un établissement situé dans un autre État membre, renforçant ainsi la nécessité de respecter les réglementations en matière de protection des données.

Quelles obligations pèsent sur le responsable du traitement des données ?

Selon l’article 34 de la loi du 6 janvier 1978 modifiée, le responsable du traitement doit prendre toutes les précautions nécessaires pour assurer la sécurité des données.

Cela inclut la prévention de la déformation, de l’endommagement des données, ainsi que l’accès non autorisé par des tiers.

Dans le cas d’UBER, la sécurisation de l’accès à la plateforme GitHub, qui était essentielle pour le développement des activités, aurait dû être encadrée par des règles de sécurité adéquates.

Quels manquements spécifiques ont été identifiés concernant la sécurité des données ?

La CNIL a identifié plusieurs manquements en matière de sécurité des données chez UBER.

Tout d’abord, l’absence de processus pour retirer les habilitations des anciens ingénieurs a été considérée comme une négligence majeure.

De plus, la présence d’identifiants d’accès aux serveurs dans du code source sur GitHub a été jugée inacceptable, car cela expose les données à des risques de divulgation.

Il est impératif que de tels identifiants soient protégés et ne soient pas stockés dans des fichiers non sécurisés.

Quelles mesures de sécurité auraient dû être mises en place par UBER ?

UBER aurait dû mettre en place un système de filtrage des adresses IP pour sécuriser l’accès aux données personnelles.

Bien que cela puisse nécessiter un développement long et complexe, il s’agissait d’un effort nécessaire à planifier dès le début de l’utilisation des services.

La négligence d’UBER à ne pas adopter ces mesures élémentaires de sécurité a mis en péril la protection des données de millions d’utilisateurs, soulignant l’importance d’une gestion rigoureuse des accès et des identifiants.