148 millions de dollars, voilà la somme qu’Uber doit verser en échange de la clôture de toutes les poursuites engagées contre lui après la fuite de données dont sa plateforme avait été victime en 2016. Mais ce n’est pas tant le vol des informations de 25 millions de résidents américains qui est mis à l’amende que la dissimulation de cette affaire pendant un an par Uber.
En novembre 2017, le public apprenait qu’Uber avait été victime d’un vol de données massif, au cours duquel les informations de 57 millions de ses utilisateurs, chauffeurs et passagers, avaient été dérobés par des hackers installés aux Etats-Unis et au Canada. Et pire encore, l’attaque remontait à novembre 2016, Uber ayant caché l’affaire sous le tapis et payé 100 000 dollars aux hackers afin que les données volées soient supprimées.
Il a fallu un changement de direction à la tête du géant du transport, Travis Kalanick passant le flambeau bon gré mal gré à Dara Khosrowshahi pour que l’information soit révélée. Le nouveau CEO avait par la suite présenté ses excuses au nom de son entreprise, ce qui n’avait pas empêché l’ouverture de nombreuses enquêtes dans les pays dont les ressortissants étaient concernés par ce vol de données.
Une nouvelle politique de sécurisation des données
Hier, la procureure générale de New York, Barbara Underwood, a annoncé dans un communiqué qu’Uber avait accepté de verser 148 millions de dollars afin de mettre fin aux procédures en cours sur le sol américain, où Uber était notamment poursuivi pour violation de la General Business Law, laquelle exige d’une entreprise qu’elle notifie ses utilisateurs et les autorités « dans les meilleurs délais et sans retard déraisonnable » en cas de brèche impliquant certains types de données, notamment les numéros de licences de chauffeurs.
Uber s’est également engagé à cette occasion à adopter un nouveau modèle de notification en cas de violation de données et de nouvelles pratiques de sécurisation des données, notamment conduire des audits externes sur la robustesse de ses systèmes informatiques et de mettre en place une politique de mots de passe forts pour ses salariés.
« Ce règlement à l’amiable devrait envoyer un message clair : nous avons une tolérance zéro pour ceux qui contournent la loi et laissent les informations des consommateurs et des employés vulnérables à l’exploitation » assène Barbara Underwood dans son communiqué.
Rappelons qu’Uber reste poursuivi dans d’autres pays : en Europe, le G29 a formé une «task force» chargée d’enquêter sur cette violation de données.