Mounir Mahjoubi interpelle Uber: quid de la France dans le vol massif de données persos ?

Mounir Mahjoubi s’adresse à Uber au nom du gouvernement français.

Par courrier officiel, le secrétaire d’Etat au Numérique exprime ses préoccupations, à la suite du vol massif de données personnes subi en 2016 par Uber. Il demande à la direction d’Uber des précisions sur cette faille béante de sécurité exploitée par une plateforme tierce Cloud.

50 millions de clients et 7 millions de chauffeurs sont concernés dans le monde mais combien en France ? C’est la principale interrogation de Mounir Mahjoubi dans sa lettre transmise à la presse jeudi soir.

La missive de Mounir Mahjoubi adressée à Dara Khosrwoshahi (CEO d’Uber) est exprimée sous cette forme : « Pouvez-vous à ce jour nous indiquer si des utilisateurs français sont concernés et si oui combien et de quel type sont les données qui ont été dérobées, quelles mesures techniques et organisationnelles sont mises en place pour informer et accompagner les utilisateurs ? »

Le secrétaire d’Etat chargé du numérique s’étonne qu’Uber n’ait « pas signalé cet incident auprès des autorités françaises et notamment auprès de la CNIL et de l’ANSSI ».

Il rappelle que la prochaine mise en vigueur du Règlement général pour la protection des données (prévue en mai 2018) établit des notifications obligatoires en cas de situation exceptionnelle comme le vol massif de données personnelles qui a affecté Uber.

En l’état actuel, Uber n’a pas publiquement donné suite mais une copie de la lettre a été adressée à la branche française de la société californienne.

La CNIL va-t-elle bientôt entrer sur scène ?

Les noms, adresses électroniques et numéros de téléphone des victimes d’Uber (chauffeurs et passagers) ont été subtilisés. Et peut-être d’autres éléments liés aux parcours réalisés en fonction des réservations de trajets. Néanmoins, les coordonnées bancaires des dizaines de millions de clients seraient exclues.

De son côté, Uber assure que ces données n’ont pas été exploitées pour mener des actions malveillantes sur Internet comme des campagnes de phishing.

La société Internet californienne a même reconnu qu’elle avait accepté de verser 100 000 dollars aux pirates pour éviter toute exploitation des données massivement aspirées.

Parallèlement, les autorités nationales de régulation en charge de la protection des données personnelles au niveau de l’UE (regroupées dans le groupe de travail Article 29) pourraient coordonner leurs investigations consécutives au piratage d’Uber, selon ITespresso.fr.

En France, la Commission nationale de l’informatique et des libertés n’a pas encore officiellement amorcé de procédure.

Aux Etats-Unis, la situation est plus tendue : Uber est confrontée à trois procédures de type class action (« action en groupe ») et des enquêtes sont ouvertes par les bureaux des procureurs de 5 Etats (New York, Missouri, Massachusetts, Connecticut et Illinois).