Uber a finalement accepté d’implanter un programme de protection de la vie privée plus robuste, accompagné d’une rampe d’audits régulier pour éteindre une plainte de la Federal Trade Commission. Un contrôle qui s’étend sur les vingt prochaines années.
La FTC reprochait à l’entreprise spécialisée dans le transport des personnes ne pas avoir assez encadré l’accès des employés aux données privées des clients et des conducteurs, contrairement à ses prétentions. « Uber a mis à défaut les consommateurs de deux façons : d’une part, en déformant l’ampleur de la mesure avec laquelle elle surveillait l’accès de ses employés à ces données personnelles, d’autre part, en faussant les mesures raisonnables prises pour sécuriser ces données » a expliqué au fil d’un communiqué, Maureen K. Ohlhausen, membre de la FTC.
« Cette affaire, poursuit-elle, montre que même si vous êtes une entreprise à croissance rapide, vous ne pouvez pas laisser les consommateurs à la traine : vous devez respecter vos promesses de confidentialité et de sécurité ».
Entre les communiqués et la réalité
Tout est parti d’un communiqué publié en novembre 2014 au terme duquel Uber soutenait avoir une politique stricte interdisant l’accès à ces données par ses employés, exception faite dans le cadre d’objectifs commerciaux dits légitimes. En décembre, elle mettait en œuvre un système de surveillance automatisé, mais moins d'un an plus tard, révèle la FTC, Uber le débranchait sans tambour ni trompette.
Pire, en mai 2014, loin des messages glorifiant la sécurité de ses données, un individu parvenait à alpaguer 100 000 noms et numéros de permis de conduire de l’entité, stockés sur Amazon Web Services. Selon la plainte de la FTC, il a utilisé la clé d'un ingénieur de l'entreprise, postée sur GitHub.
D'ailleurs, toujours d'après l’enquête de la FTC, Uber a fauté à de multiples reprises. Par exemple, la société « n'a pas obligé ses ingénieurs et programmeurs à utiliser des clés d'accès distinctes pour accéder aux informations personnelles stockées dans le cloud. Aux lieux et places, elle les a autorisés à utiliser une seule clé pour avoir un accès complet à toutes les données sans exiger d’authentification à multifacteurs. En outre, Uber a stocké des informations sensibles sur les consommateurs, y compris des informations de géolocalisation, en clair dans ses sauvegardes dans le cloud ».
Dans son accord avec l’agence indépendante en charge du droit de la consommation, Uber devra mettre en œuvre un programme complet de protection de la vie privée, mais surtout se plier à une série d’audits semestriels durant les 20 prochaines années, le tout par une entité tierce.
