Uber : la dissimulation du piratage aux titulaires des données "est vraiment une infraction"

Nicolas Arpagian, directeur scientifique à l'Institut national des hautes études de la sécurité et de la justice (Inhesj), a expliqué, mardi sur franceinfo, qu'Uber avait commis une infraction en cachant à ses utilisateurs et chauffeurs un piratage de leurs données survenu fin 2016.

Les pirates informatiques ont eu accès aux noms, adresses email et numéros de téléphone portable de 57 millions d\'utilisateurs de l\'application Uber. (Photo d\'illustration)
Les pirates informatiques ont eu accès aux noms, adresses email et numéros de téléphone portable de 57 millions d'utilisateurs de l'application Uber. (Photo d'illustration) (LIONEL BONAVENTURE / AFP)
avatar
franceinfoRadio France

Mis à jour le
publié le

La dissimulation, par Uber, d'un important piratage fin 2016 "est vraiment une infraction", a estimé, mercredi 22 novembre sur franceinfo, Nicolas Arpagian. Le directeur scientifique à l'Institut national des hautes études de la sécurité et de la justice (Inhesj) a réagi alors que le spécialiste américain de location de voiture avec chauffeur a dissimulé cette cyberattaque et a même versé 100 000 dollars aux deux auteurs de l'intrusion et du vol de données en échange de leur silence. 

Les pirates informatiques ont eu accès aux noms, adresses email et numéros de téléphone portable de 57 millions d'utilisateurs, ainsi qu'aux noms et numéros de permis de conduire de 600 000 chauffeurs aux Etats-Unis.

franceinfo : Que va-t-il se passer pour Uber ?

Nicolas Arpagian : Les recours existent. La Federal Trade Commission [FTC - Commission fédérale du commerce] va lui demander des comptes au niveau de la sécurité et sur le fait qu'il ait dissimulé. On ne peut pas lui reprocher d'avoir acheté ou transigé avec les pirates, mais on peut lui reprocher d'avoir dissimulé le piratage à la FTC et également aux titulaires des données que sont les clients et les chauffeurs. Cela, c'est vraiment une infraction. Au même moment, Uber était en discussion avec la FTC concernant un piratage survenu en 2014. Uber ne peut donc pas invoquer le fait qu'il n'avait pas de contacts avec l'instance de régulation.

Les victimes peuvent-elles espérer des indemnisations ?

Il faut distinguer le piratage des prélèvements indus. Pour l'instant Uber affirme que les coordonnées bancaires n'ont pas été concernées. Aux Etats-Unis, la législation permet de conduire des actions de groupe, mais pas en France où il faut un intermédiaire.

Qu'en est-il des réglementations en Europe ?

Nous avons également des réglementations qui protègent les données personnelles. À partir du mois de mai 2018, l'Europe va avoir un arsenal très contraignant, avec des amendes pouvant aller jusqu'à 4% du chiffre d'affaires mondial globalisé. Elles pourront être payées par infraction, par perte ou par vol de données. C'est autant de contentieux auquel Uber devra faire face.