À peine révélée, la fuite de données chez Uber intéresse déjà plusieurs régulateurs européens, dont la CNIL. En France, Mounir Mahjoubi, secrétaire d’État au numérique, s’inquiète de l’impact sur les clients et chauffeurs français. Uber a dû également s’expliquer de ses priorités de communication, Softbank ayant été averti avant les régulateurs.
Il y a deux jours, on apprenait qu’Uber avait subi une attaque informatique sur ses systèmes en octobre 2016. Il a donc fallu plus d’un an à l’entreprise pour annoncer que 57 millions de comptes avaient été piratés, dont ceux de 7 millions de chauffeurs.
Parmi les informations personnelles volées, on trouve notamment 600 000 numéros de permis de conduite. Uber a assuré cependant qu’aucun numéro de carte bancaire ou de sécurité sociale n’avait été dérobé, pas plus que les informations liées aux déplacements. La société avait cependant accepté de payer la rançon de 100 000 dollars, afin que les données soient détruites (sans aucune garantie bien sûr), le tout dans l'espoir de ne pas ébruiter l'hémorragie.
Cependant, l’ampleur horizontale de la fuite questionne, tout autant que sa chronologie des réactions. Car non seulement le piratage remonte à plus d’un an, mais Softbank, qui pourrait investir jusqu’à 10 milliards de dollars dans Uber, a été mise au courant avant les régulateurs.
Un « devoir » d’avertir les investisseurs potentiels
À Reuters, Uber a en effet confirmé ce sens de la priorité : « Nous avons informé Softbank que nous enquêtions sur une fuite de données, en accord avec notre devoir de dévoiler [cette fuite] à un investisseur potentiel, même si nos informations à ce moment étaient préliminaires et incomplètes ».
Uber aurait donc attendu les conclusions de cette enquête pour contacter les régulateurs et avertir les clients. Mais les propos de l’entreprise ne font état d’aucune date. Or, la chronologie précise est importante.
Si l’on en croit le Wall Street Journal, Dara Khosrowshahi, directeur de l’entreprise, aurait été informé de la situation il y a environ deux mois. Ce dernier, dans un communiqué, annonçait n’avoir été mis au courant que « récemment ». Toujours selon nos confrères, Softbank aurait reçu les premiers éléments d’enquête il y a trois semaines. Des éléments qui n’ont pas été confirmés par Uber.
De quoi réviser les intentions de Softbank ? On se souvient que les multiples déboires de Yahoo en sécurité ont conduit Verizon à abaisser son offre de rachat de 350 millions de dollars (pour un montant final d’environ 4,5 milliards). Uber n’est pas à vendre, mais la confiance peut être écornée.
Des régulateurs européens se penchent déjà sur la fuite
En Europe, le groupe de travail 29 (ou G29) a inscrit le sujet à sa prochaine session, qui se tiendra les 28 et 29 novembre, sur demande de la présidente de la CNIL, Isabelle Falque-Pierrotin. L'autorité française nous a indiqué que c’était aux agences nationales d’ouvrir ces enquêtes, le rôle du groupe européen étant de les coordonner. Le service de communication ajoute qu’il n’a pas pour l'heure connaissance d’une initiative déjà lancée dans l’Hexagone.
L’Autriche, les Pays-Bas, la Pologne, l’Italie et le Royaume-Uni ont eux ouvert ces enquêtes. Aux Pays-bas notamment, où sont installés les quartiers d’Uber pour ses affaires européennes, la loi oblige toute entreprise à prévenir dans les 72 heures toute fuite de données, sous risque d'une amende pouvant grimper jusqu’à 820 000 euros.
Avec l’entrée en vigueur du RGPD en mai 2018, une telle situation sera gérée toute autrement car, comme aux Pays-Bas, les entreprises concernées auront 72 heures pour informer les CNIL, puisque des données personnelles identifiantes se trouvent dans les tuyaux. Sur le site Datajuristes, on évoque d'ailleurs des manquements potentiels aux articles 32 (défaut de sécurisation), 33 (avertissement des CNIL) et 34 (avertissement des clients concernés) du futur règlement européen.
Sans attendre l'enquête de la CNIL, sur le front politique, Mounir Mahjoubi, secrétaire d’État au numérique a adressé un courrier à Uber. Il demande notamment « si des utilisateurs français sont concernés et si oui combien, et de quel type sont les données qui ont été dérobées ». Il voudrait en outre savoir « quelles mesures techniques et organisationnelles sont mises en place pour informer et accompagner les utilisateurs ».
La société sera libre de lui répondre, alors qu’elle sera tenue de collaborer avec les enquêteurs de la CNIL.
Uber ne veut pas en dire davantage pour l'instant
Du côté d’Uber cependant, on se refuse à commenter davantage. « Nous avertissons actuellement les différentes autorités régulatrices et gouvernementales et nous attendons à discuter avec elles. Nous ne sommes pas en position de fournir d’autres détails tant que ce processus ne sera pas terminé » indique ainsi l’entreprise au Financial Times.
Comme le précise d’ailleurs le média, Uber ne risque pas des amendes qu’en Europe puisque plusieurs États américains - Massachusetts, Illinois et Connecticut – ont déjà annoncé ouvrir une enquête. La Federal Trade Commission indique elle aussi qu’une évaluation était en cours.