La CNIL sanctionne Uber et Bouygues pour manquements aux obligations de sécurité et de confidentialité relatives aux données personnelles.
Délibération de la formation restreinte de la CNIL du 19 décembre 2018 prononçant une sanction pécuniaire à l’encontre de la société UBER FRANCE SAS
Délibération de la formation restreinte de la CNIL du 26 décembre 2018 prononçant une sanction pécuniaire à l’encontre de la société BOUYGUES TELECOM
En décembre 2018, la formation restreinte de la CNIL a prononcé une amende de 250 000 euros à l’encontre de BOUYGUES TELECOM, et une amende de 400 000 euros à l’encontre de la société UBER FRANCE SAS.
S’agissant de la première affaire, BOUYGUES TELECOM a été informée par ses utilisateurs de l’existence d’un défaut de sécurité sur son site internet ayant rendu librement accessibles des données personnelles des clients de la marque B&YOU. Cette faille a entrainé la possibilité d’accéder à leurs contrats et factures. Plus de deux millions de clients ont été impactés pendant plus de deux ans.
A l’occasion du contrôle de la CNIL, le rapporteur a estimé que la société avait manqué à ses obligations de sécurité.
La formation restreinte a constaté que les tests de sécurité effectués par la société étaient inadaptés, inefficaces, et qu’ils ne pouvaient permettre d’identifier des vulnérabilités. En conséquence, elle a jugé que BOUYGUES TELECOM a manqué à son obligation de prendre des mesures suffisantes pour assurer la sécurité des données personnelles contenues dans son système d’information.
La seconde affaire concerne la condamnation de la société UBER France SAS. En novembre 2017, La société américaine Uber Technologies Inc. a reconnu que deux personnes externes à la société avaient accédé aux données personnelles de 57 millions de ses utilisateurs dans le monde, dont plus d’un million de français tant passagers que conducteurs.
La société néerlandaise Uber B.V. avait adressé un courrier au G29 afin de préciser les circonstances de cette violation de données en ce qui concerne l’Europe, ainsi que les mesures prises pour y remédier.
Au regard des éléments fournis, la CNIL, saisie du dossier pour la France, a conclu que ce piratage trouvait son origine dans un enchaînement de négligences ayant permis l’accès à un espace privé sur une plateforme tierce. Elle ajoute que cette violation de données aurait été évitable si UBER avait mis en œuvre des mesures de sécurité telles que :
– De fortes mesures d’authentification sur la plateforme
– L’absence de stockage des informations d’identification qui autorisent l’accès au serveur
– La mise en place un système de filtrage IP pour accéder aux serveurs contenant les données personnelles des utilisateurs
En conséquence, la formation restreinte a sanctionné l’entité française de la société, au regard « de la nature des liens entre la société UBER FRANCE SAS et les responsables de traitement, qui mettent en œuvre leurs opérations de traitement dans le cadre d’activités propres de leur établissement français ».
Notons que la décision de la formation restreinte se réfère à l’arrêt rendu par la Cour de Justice de l’Union Européenne le 5 juin 2018 concernant Wirtschaftsakademie Schleswig-Holstein GmbH. Dans cette décision, la Cour avait constaté que lorsqu’une entreprise établie en dehors de l’Union Européenne dispose de plusieurs établissements dans des Etats membres, la CNIL, ou autre autorité compétente, peut exercer ses pouvoirs sur la protection des données à l’égard de l’établissement sur le territoire de cet Etat membre.
Il convient enfin de souligner que les sanctions pécuniaires ont été prononcées avant l’entrée en vigueur du RGPD. Les manquements aux obligations de sécurité et de confidentialité seraient jugés différemment aujourd’hui. Les sociétés risqueraient une amende d’un montant représentant entre 2% et 4% de leur chiffre d’affaires annuel mondial.
Judith Ayache