Vie privée : Uber soumis à une série d’audits ces vingt prochaines années

Vie privée : Uber soumis à une série d’audits ces vingt prochaines années

Le vingt justifie les moyens

Avatar de l'auteur
Marc Rees

Publié dans

Droit

16/08/2017 3 minutes
15

Vie privée : Uber soumis à une série d’audits ces vingt prochaines années

Uber a finalement accepté d’implanter un programme de protection de la vie privée plus robuste, accompagné d’une rampe d’audits régulier pour éteindre une plainte de la Federal Trade Commission. Un contrôle qui s’étend sur les vingt prochaines années. 

La FTC reprochait à l’entreprise spécialisée dans le transport des personnes ne pas avoir assez encadré l’accès des employés aux données privées des clients et des conducteurs, contrairement à ses prétentions. « Uber a mis à défaut les consommateurs de deux façons : d’une part, en déformant l’ampleur de la mesure avec laquelle elle surveillait l’accès de ses employés à ces données personnelles, d’autre part, en faussant les mesures raisonnables prises pour sécuriser ces données » a expliqué au fil d’un communiqué, Maureen K. Ohlhausen, membre de la FTC.

« Cette affaire, poursuit-elle, montre que même si vous êtes une entreprise à croissance rapide, vous ne pouvez pas laisser les consommateurs à la traine : vous devez respecter vos promesses de confidentialité et de sécurité ».

Entre les communiqués et la réalité 

Tout est parti d’un communiqué publié en novembre 2014 au terme duquel Uber soutenait avoir une politique stricte interdisant l’accès à ces données par ses employés, exception faite dans le cadre d’objectifs commerciaux dits légitimes. En décembre, elle mettait en œuvre un système de surveillance automatisé, mais moins d'un an plus tard, révèle la FTC, Uber le débranchait sans tambour ni trompette.

Pire, en mai 2014, loin des messages glorifiant la sécurité de ses données, un individu parvenait à alpaguer 100 000 noms et numéros de permis de conduire de l’entité, stockés sur Amazon Web Services. Selon la plainte de la FTC, il a utilisé la clé d'un ingénieur de l'entreprise, postée sur GitHub. 

D'ailleurs, toujours d'après l’enquête de la FTC, Uber a fauté à de multiples reprises. Par exemple, la société « n'a pas obligé ses ingénieurs et programmeurs à utiliser des clés d'accès distinctes pour accéder aux informations personnelles stockées dans le cloud. Aux lieux et places, elle les a autorisés à utiliser une seule clé pour avoir un accès complet à toutes les données sans exiger d’authentification à multifacteurs. En outre, Uber a stocké des informations sensibles sur les consommateurs, y compris des informations de géolocalisation, en clair dans ses sauvegardes dans le cloud ».

Dans son accord avec l’agence indépendante en charge du droit de la consommation, Uber devra mettre en œuvre un programme complet de protection de la vie privée, mais surtout se plier à une série d’audits semestriels durant les 20 prochaines années, le tout par une entité tierce. 

15

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Entre les communiqués et la réalité 

Commentaires (15)


20 Ans, ils sont optimistes !


Une idée sur l’identité de cette “entité tierce” en question ?








Kerghan a écrit :



Une idée sur l’identité de cette “entité tierce” en question ?







Une boite spécialisée dans les audits, et en général ils ne sont pas gentil parce que raf de la boite qu’ils audits.



Au rythme où vont les choses il n’y aura plus d’uber dans 20 ans ^^








darkbeast a écrit :



Une boite spécialisée dans les audits, et en général ils ne sont pas gentil parce que raf de la boite qu’ils audits.







Merci pour l’info. ;)



Je ne parierai pas sur l’existence d’Uber dans 20 ans… Mais c’est bien d’y croire ! Ca sera l’occasion de revendre quelques fichiers en disant qu’ils n’ont pas eu le temps de faire faire tous les audits prévus <img data-src=" />








Kerghan a écrit :



Merci pour l’info. ;)







de rien on a des contrôle aussi au taf de type sox tous les ans et même si t’as tout bien à 99,99%, ils insistent sur le 0,01% pas bien



Dans 20 ans Uber aura certainement une flotte de voiture autonome et plus aucun conducteur humain.


Ni de vie privée.








MoonRa a écrit :



Dans 20 ans Uber aura certainement une flotte de voiture autonome et plus aucun conducteur humain.





Difficile de jouer au voyant mais Google, IBM, Tesla, Ford etc… me semblent nettement en avance sur ces technos par rapport à uber qui a eu plusieurs accidents avec ses véhicules autonomes lui imposant de retirer régulièrement de la circulation sa flotte de “test”. Sans surprise, certains papiers estiment que ce déploiement est totalement précipité et a pour but de faire de la com face à des résultats préoccupant et une image très dégradée.

&nbsp;

Avis que les géants cités précédemment se passeront sans mal d’uber et de son appli marketplace à la mauvaise réputation, alors qu’ils pourront tout faire en interne et s’auto-promouvoir sans mal.









kalou75 a écrit :



Ni de vie privée.





Oui et non.

De façon totalement regrettable mais comme dans bien d’autres domaines, les populations éduquées (statistiquement plus riches que les autres…) vont continuer à s’en préoccuper et recourir à des outils préservant leurs données, voire à des contre-mesures (comme on le fait déjà en chiffrant nos échanges, en cryptant nos dossiers, en recourant à des VPN etc…) , conscientes du risque.

&nbsp;

En revanche, les services les moins chers et/ou encore les plus faciles d’utilisation, c-a-d “automatisant” voire “déresponsabilisant” à l’image des bots de réservation qui interconnectent les données sur plusieurs services, et qui donc consomment massivement des données persos pour “offrir” le service, par facilité d’emploi et coûts seront majoritairement utilisés par les personnes les moins éduquées, qui elles renonceront de fait à toute vie privée.









darkbeast a écrit :



de rien on a des contrôle aussi au taf de type sox tous les ans et même si t’as tout bien à 99,99%, ils insistent sur le 0,01% pas bien





S’il est illusoire de dire qu’un SI est hermétique, l’objectif d’un audit c’est de déqualifier cet éventuel 01% qui risque d’être sujet à (source de problème/conflits), même si 99,9% du périmètre sort qualifié.



Après que les DSI estiment&nbsp; (ad probationem) que ce 0,1% est un risque tolérable c’est une charge qui doit être assumé…



&nbsp;





crocodudule a écrit :



Oui et non.



De façon totalement regrettable mais comme dans bien d'autres domaines, les populations éduquées (statistiquement plus riches que les autres...) vont continuer à s'en préoccuper et recourir à des outils préservant leurs données, voire à des contre-mesures (comme on le fait déjà en chiffrant nos échanges, en cryptant nos dossiers, en recourant à des VPN etc...) , conscientes du risque.      

&nbsp;

En revanche, les services les moins chers et/ou encore les plus faciles d'utilisation, c-a-d "automatisant" voire "déresponsabilisant" à l'image des bots de réservation qui interconnectent les données sur plusieurs services, et qui donc consomment massivement des données persos pour "offrir" le service, par facilité d'emploi et coûts seront majoritairement utilisés par les personnes les moins éduquées, qui elles renonceront de fait à toute vie privée.







D’autant plus regrettable que côté datas les pouvoirs publics sont complètement à la ramasse, mieux encore, contribuent à alimenter les big farmers et autres collecteurs de mégadonnées, un peu comme s’ils étaient incapables de comprendre, prendre la mesure des enjeux :[



Après je dirais que les personnes moins “au fait” subissent un peu malgré eux, ne pigent pas grand chose mais contribuent à alimenter les big datas, donnant toujours plus de pouvoir à ceux qui les exploitent.



Bonjour, je vois pas mal de gens qui disent que dans 20 ans UBER n’existera plus, ça signifie qu’ici personne n’a pris de Uber car moins cher qu”un taxi ?


Plus tôt que sa forme actuel aura changer dans 20 ans.