Uber a finalement accepté d’implanter un programme de protection de la vie privée plus robuste, accompagné d’une rampe d’audits régulier pour éteindre une plainte de la Federal Trade Commission. Un contrôle qui s’étend sur les vingt prochaines années.
La FTC reprochait à l’entreprise spécialisée dans le transport des personnes ne pas avoir assez encadré l’accès des employés aux données privées des clients et des conducteurs, contrairement à ses prétentions. « Uber a mis à défaut les consommateurs de deux façons : d’une part, en déformant l’ampleur de la mesure avec laquelle elle surveillait l’accès de ses employés à ces données personnelles, d’autre part, en faussant les mesures raisonnables prises pour sécuriser ces données » a expliqué au fil d’un communiqué, Maureen K. Ohlhausen, membre de la FTC.
« Cette affaire, poursuit-elle, montre que même si vous êtes une entreprise à croissance rapide, vous ne pouvez pas laisser les consommateurs à la traine : vous devez respecter vos promesses de confidentialité et de sécurité ».
Entre les communiqués et la réalité
Tout est parti d’un communiqué publié en novembre 2014 au terme duquel Uber soutenait avoir une politique stricte interdisant l’accès à ces données par ses employés, exception faite dans le cadre d’objectifs commerciaux dits légitimes. En décembre, elle mettait en œuvre un système de surveillance automatisé, mais moins d'un an plus tard, révèle la FTC, Uber le débranchait sans tambour ni trompette.
Pire, en mai 2014, loin des messages glorifiant la sécurité de ses données, un individu parvenait à alpaguer 100 000 noms et numéros de permis de conduire de l’entité, stockés sur Amazon Web Services. Selon la plainte de la FTC, il a utilisé la clé d'un ingénieur de l'entreprise, postée sur GitHub.
D'ailleurs, toujours d'après l’enquête de la FTC, Uber a fauté à de multiples reprises. Par exemple, la société « n'a pas obligé ses ingénieurs et programmeurs à utiliser des clés d'accès distinctes pour accéder aux informations personnelles stockées dans le cloud. Aux lieux et places, elle les a autorisés à utiliser une seule clé pour avoir un accès complet à toutes les données sans exiger d’authentification à multifacteurs. En outre, Uber a stocké des informations sensibles sur les consommateurs, y compris des informations de géolocalisation, en clair dans ses sauvegardes dans le cloud ».
Dans son accord avec l’agence indépendante en charge du droit de la consommation, Uber devra mettre en œuvre un programme complet de protection de la vie privée, mais surtout se plier à une série d’audits semestriels durant les 20 prochaines années, le tout par une entité tierce.
Commentaires (15)
#1
20 Ans, ils sont optimistes !
#2
Une idée sur l’identité de cette “entité tierce” en question ?
#3
#4
Au rythme où vont les choses il n’y aura plus d’uber dans 20 ans ^^
#5
#6
Je ne parierai pas sur l’existence d’Uber dans 20 ans… Mais c’est bien d’y croire ! Ca sera l’occasion de revendre quelques fichiers en disant qu’ils n’ont pas eu le temps de faire faire tous les audits prévus " />
#7
#8
Dans 20 ans Uber aura certainement une flotte de voiture autonome et plus aucun conducteur humain.
#9
Ni de vie privée.
#10
#11
#12
#13
+1
#14
Bonjour, je vois pas mal de gens qui disent que dans 20 ans UBER n’existera plus, ça signifie qu’ici personne n’a pris de Uber car moins cher qu”un taxi ?
#15
Plus tôt que sa forme actuel aura changer dans 20 ans.