La fin d’année 2018 aura été marquée par une sanction exemplaire de la CNIL à l’égard du géant de l’intermédiation des VTC. La société Uber a en effet été condamnée par une délibération rendue le 19 décembre dernier à une sanction de 400 000 € d’amende pour fuite de données.
RGPD : Un « Data Leak » dissimulé par Uber
Au cours de l’année 2016, deux individus ont réussi à pénétrer le réseau informatique d’Uber et dérober les données personnelles de 57 millions d’utilisateurs de ses services dont plus d’un million en France.
Dara Khosrowshahi, nommé directeur général du groupe en 2017, avait révélé l’existence de ce piratage plus d’un an après les faits. Son prédécesseur, Travis Kalanick, fondateur de la société, avait versé 100.000 dollars aux pirates informatiques pour qu’ils détruisent les données volées, puis choisi de taire l’incident aussi bien aux victimes qu’aux autorités.
Uber : Des manquements majeurs de sécurisation des données personnelles
Au cours de son enquète, la CNIL a constaté que les pirates ont utilisé des identifiants retrouvés sur la plateforme collaborative de développement Github :
- « La société aurait dû prévoir que ses ingénieurs se connectent à la plateforme collaborative de développement « Github » grâce à une mesure d’authentification forte (par exemple, un identifiant et un mot de passe puis un code secret envoyé sur un téléphone) ;
- Elle n’aurait pas dû stocker en clair au sein du code source de la plateforme « Github » des identifiants permettant d’accéder au serveur ;
- Pour l’accès aux serveurs « Amazon Web Services S3 » contenant les données des utilisateurs, elle aurait dû mettre en place un système de filtrage des adresses IP ».
Violation de données personnelles : des sanctions internationales contre Uber
Le RGPD n’étant pas encore applicable au cours de la période visée, la société Uber a pu échapper à une sanction pouvant aller jusqu’à 4% de son chiffre d’affaire mondial.
Cette sanction s’inscrit dans la continuité des sanctions du G29 – Groupe des CNIL européennes, à l’encontre de la société Uber condamnée plusieurs fois au cours des derniers mois pour les manquements à la protection des données ainsi que l’absence d’information d’utilisateurs :
- 09.2018 Etats-Unis : 126 m€ à la suite d’un accord amiable.
- 11.2018 Pays-Bas : 600 000 €
- 11.2018 Royaume-Uni : 425 000 €
Mise à jour – Uber plusieurs fois condamné pour des manquements aux données personnelles
Depuis cette première sanction Uber a été à nouveau condamné devant l’autorité indépendante pour de nouveaux manquements au RGPD et règles en matière de protection de données personnelles.
Septembre 2020. Une plainte associée à un recours collectif déposé par la LDH au cours de l’été 2020, représentant une centaine de chauffeurs dénonce le refus d’Uber d’accorder des accès à de nombreuses données personnelles des chauffeurs. Notamment : le droit d’accès à leurs données s’ils sont « déconnectés » ainsi que « l’impossibilité de s’opposer à la cession commerciale de leurs données« .
L’enjeu est de taille dans la mesure où ce type de données sont constituent des éléments de preuve importants dans le cadre de contentieux prudhommal contre la plateforme d’intermédiation généralement associé à une requalification de leur contrat en cotnrat de travail.
Retrouvez ci-dessous l’ensemble du contentieux commenté sur le ralation de travail entre la plateforme Uber et ses chauffeurs indépendants :
- Uber et plateformes d’intermédiation Californie et statut de travailleur indépendant
- Intermédiation : Uber rattrapé par le Code du Travail
- Les plateformes d’intermédiation en quète d’un régime juridique autonome