Faits: A la fin de l’année 2016, deux individus extérieurs à la société UBER ont accédé aux données de 57 millions d’utilisateurs des services UBER à travers le monde en obtenant l’accès à un espace de travail privé Uber sur GitHub qui leur a permis de trouver une clé inscrite en clair dans un fichier de code source pour accéder à la plateforme d’hébergement […] où sont stockées les données à caractère personnel des utilisateurs des services UBER. La violation de données a concerné 57 millions d’utilisateurs dans le monde dont 1,4 million sur le territoire français.
En novembre 2017, la société a adressé un courrier à la Présidente du G29 l’informant des circonstances de la violation de données. Le G29 a alors mandaté la création d’une taskforce dans le but de coordonner les procédures d’investigations de différentes autorités de protection des données.
Constats:
– sur la qualité de co-responsable de traitement de la société Uber technologies: pour déterminer la qualité de RT, la CNIL indique que la gestion d’une violation de données est une question attachée à un élément essentiel d’un moyen de traitement, dont le responsable de traitement ne peut être dessaisi. Elle prend aussi en compte la définition de directives qui sont appliquées par l’ensemble des entités du groupe UBER, la responsabilité de la formation des nouveaux employés du groupe, la conclusion des contrats avec plusieurs sociétés tierces qui fournissent des outils essentiels au fonctionnement du service tels que ceux permettant la gestion de campagnes marketing.
– sur le manquement à l’obligation d’assurer la sécurité et la confidentialité des données: le responsable de traitement aurait du garantir la sécurité des informations stockées sur GitHub qui, si elles ne constituaient pas en elles-mêmes des données personnelles (il s’agissait des clés d’accès aux serveurs […]), permettaient en revanche d’accéder directement à une grande quantité de données personnelles.
De plus, l’absence de processus relatif au retrait des habilitations des anciens ingénieurs constitue une négligence importante.
Les identifiants d’accès aux serveurs […] n’auraient pas dû être présents dans du code source stocké sur la plateforme GitHub.
Absence de sécurisation de l’accès à distance aux serveurs.Compte tenu du nombre très important de personnes dont les données personnelles sont conservées les serveurs, la mise en place d’un système de filtrage des adresses IP, quand bien même cela nécessitait un long développement, constituait un effort nécessaire.
-Sur la publicité de la sanction: le nombre de personnes et de données personnelles suffisent à évaluer la gravité de la violation bien qu’il n’y ait pas de données sensibles.
