USA : une loi sur la notification des violations et la protection des données
Pour inciter les sociétés technologiques à protéger les consommateurs
Enquêtes ou plaintes, on ne compte plus le nombre de procédures judiciaires lancées à l’encontre d’Uber depuis plusieurs mois (au moins 433 depuis janvier 2017). Si jusque-là l’entreprise semblait tenir bon, malgré les scandales à répétition qui ternissent chaque jour un peu plus son image auprès des consommateurs, les révélations de la semaine dernière qui font état du piratage et du vol massif de données dont a été victime la société il y a plus d’un an déjà pourraient bien être la goutte d’eau qui va faire déborder le vase.
À titre de rappel, suite à un acte de piratage survenu en octobre 2016, des tiers ont réussi à distraire des informations concernant environ 57 millions de passagers et 600 000 conducteurs de la société technologique américaine spécialisée dans les activités de transport. Uber estime, cependant, que les informations volées n’ont jamais été utilisées par les pirates.
Même si Uber a précisé que les auteurs de cet acte de piratage ont été rapidement identifiés, il est reproché à l’entreprise d’avoir intentionnellement dissimulé les faits et choisi d’étouffer l’affaire en achetant le silence des auteurs et la promesse que ces données seront détruites contre 100 000 USD.
Rappelons qu’à cette époque, Uber était en pleine discussion avec la Federal Trade Commission (FTC) au sujet de sa gestion des données utilisateur. Concernant ce dernier point, il faut signaler qu’en aout 2017 la FTC l’a reconnue coupable de tromperie et de négligence envers ses conducteurs et ses passagers au regard de la manière dont la société utilisait, protégeait et stockait les informations personnelles de ces derniers.
La Ville de Chicago, qui a introduit une action en justice contre Uber au nom de tous les résidents de l’État de l’Illinois, a déploré le fait que la source de cet accès non autorisé est la même que celle d’un incident similaire qui a touché l’entreprise en 2014 : des identifiants de connexion pour AWS donnant accès à une importante base de données d’utilisateurs ont été retrouvés sur une plateforme dédiée au développement. Elle s’insurge notamment contre le fait que, plus de deux années après le piratage de 2014, et en dépit de toutes ses promesses, Uber n’a toujours pas réussi à tenir ses engagements en matière de sécurité.
Préoccupé par cette annonce, le Congrès des États-Unis a, de son côté, demandé à Uber d’expliquer pourquoi il a fallu attendre aussi longtemps pour que les informations en rapport avec le piratage d’octobre 2016 soient rendues publiques. Les parlementaires s’interrogent notamment sur la nature et le caractère réel des données compromises, la manière dont les pirates ont pu être identifiés et la place accordée aux autorités judiciaires compétentes dans cette opération. Ils réclament également l’historique et le descriptif détaillés des mesures prises par la startup technologique américaine pour se conformer aux recommandations des législateurs notamment en matière de protection et de gestion des données privées.
Jeudi dernier, des sénateurs démocrates US ont présenté un projet de loi, « Loi sur la notification des violations et la protection des données », visant l’introduction de mesures légales qui permettront d’éviter qu’un pareil « scénario à la Uber » ne se reproduise. Si elle était adoptée, cette loi obligerait les entreprises à informer leurs clients des violations de données éventuelles dont elles auraient été victimes, et ce, dans les 30 jours suivant leur découverte. Les organisations qui ne respecteraient pas cette disposition s’exposeraient à une peine de prison de cinq ans.
« Nous avons besoin d’une loi fédérale forte pour poursuivre les entreprises irresponsables qui ne parviennent pas à protéger les données dont elles ont la charge ou qui n’informent pas leurs clients lorsque ces informations ont été volées par des pirates », a déclaré le sénateur Bill Nelson, D-Fla. « Le Congrès a le choix entre prendre des mesures immédiates pour faire passer ce projet de loi qui est attendu depuis longtemps ou continuer de se préoccuper des intérêts particuliers qui font obstacle à cette proposition de bon sens. Quand il s’agit de faire ce qu’il y a de mieux pour les consommateurs, il n’y a pas de place pour le compromis ou la tergiversation. »
Le projet de loi prévoit également que la FTC établisse des normes de sécurité pour la protection des données des consommateurs et, comme l’a précisé Nelson, « incite les entreprises technologiques à s’assurer que les données des consommateurs demeurent inutilisables ou illisibles en cas de violation avérée. »
La portée de la législation est cependant limitée. Par exemple, dans le cas où un nom, une adresse ou un numéro de téléphone unique aurait été compromis à cause d’une violation de sécurité, la loi ne pourra être appliquée. De même, si une organisation parvient à « démontrer que la violation dont il est question n’expose pas à des risques de vol d’identité, de fraude ou d’autre comportement illégal », l’incident est exempté de l’application de la loi.
Source : Lettre du Sénat à Uber PDF, Scribd, CyberScoop
Et vous ?
Qu’en pensez-vous ?
Voir aussi
Un tribunal US statue que les clients d'Uber n'ont pas le droit d'attaquer l'entreprise en justice, une clause définie dans le contrat d'utilisation
Uber : les autorités européennes de protection des données annoncent avoir formé un groupe de travail pour se pencher sur le cas de la société de VTC
Piratage d'Uber : la France demande des éclaircissements et rappelle à l'entreprise les sanctions qu'elle encourt dès l'application du RGPD
Partager