Pas d’ubérisation du montant des amendes prononcées par la CNIL : les enseignements de la condamnation d’Uber
La fin de l’année 2018 a été marquée par une succession de déboires juridiques pour la société Uber. La justice belge a déclaré définitivement illégale l’activité de la compagnie à Bruxelles, sa relation avec certains chauffeurs a été qualifiée de contrat de travail tant en France qu’à Londres … la société a bien malgré elle alimenté les recueils de jurisprudence à travers l’Europe.
A la fin de cette année mouvementée, la CNIL a condamné la société Uber France SAS, en tant qu’établissement des sociétés Uber INC et Uber BV, à une amende de 400 000 euros (délibération n°SAN-2018-011 du 19 décembre 2018). Ce fut pour elle l’occasion de rappeler ou de préciser certains points d’interprétation de la réglementation Informatique et libertés.
Faits et procédure ayant conduit à la condamnation d’Uber – A la fin de l’année 2016, les données de 57 millions d’utilisateurs des services d’Uber à travers le monde ont été piratées par deux individus. Uber technologies Inc. avait alors versé 100 000 dollars US aux hackeurs pour qu’ils détruisent les données et ne révèlent pas l’existence du piratage.
Néanmoins, fin 2017, l’entreprise est contrainte de publier sur son site Internet un communiqué révélant l’incident et d’adresser un courrier à la présidente du G29 pour l’informer des circonstances de la violation. Un groupe de travail, est alors mandaté pour coordonner les procédures d’investigation. L’instruction de l’affaire durera près de 9 mois.
Qualification d’Uber de responsable conjoint du traitement – Dans sa délibération, la CNIL rappelle qu’un sous-traitant qui acquiert un rôle important dans la détermination des finalités ou des moyens essentiels du traitement est davantage un co-responsable du traitement qu’un sous-traitant. Pour qualifier les différents acteurs, elle procède à une analyse factuelle et non formelle de la situation. Autrement dit, la signature d’un contrat de sous-traitance ne sera pas un obstacle à l’établissement de la responsabilité conjointe.
En l’espèce, Uber technologies Inc. avait développé l’application permettant à Uber de proposer ses services partout dans le monde. C’est elle qui avait géré les conséquences de la violation de données, notamment en publiant l’article révélant la violation. Elle avait également rédigé plusieurs documents clés relatifs à la gestion des données personnelles collectées pour l’ensemble du groupe Uber.
La CNIL considère que la gestion d’une violation de données est une question attachée à un élément essentiel d’un moyen du traitement dont le responsable du traitement ne peut être dessaisi.
Elle vient ainsi illustrer l’avis rendu par le G29 sur les notions de responsable du traitement et de sous-traitant. Cet avis considère que la détermination des finalités du traitement est réservée au responsable du traitement et que toute personne qui prend une telle décision a, de fait, ce rôle. En revanche, la détermination des moyens du traitement peut être déléguée à un sous-traitant, si elle ne concerne que des questions techniques ou d’organisation.
Dès lors, toutes les questions portant sur la licéité du traitement restent réservées au responsable du traitement. Ainsi, toute entité qui décide de la durée de conservation des données, de la base légale, des personnes pouvant accéder à ces données et de la gestion des éventuelles failles de sécurité agit en responsable du traitement.
Sur l’application du droit français – Uber B.V. et Uber technologies Inc. arguaient que le droit français ne leur était pas opposable. Non seulement la violation des données n’avait pas eu lieu en France, mais les activités de la filiale Uber France SAS ne suffisaient pas à le rendre applicable. L’article 5 I. de la loi du 6 janvier 1978, transposant l’article 4 1. a) de la directive 95/46 du 24 octobre 1995, pose en effet deux conditions pour que le droit d’un Etat membre soit applicable :
- existence d’un établissement du responsable du traitement sur le territoire de l’Etat membre ; et
- mise en œuvre du traitement dans le cadre des activités de cet établissement.
Or, la CNIL, constatant qu’Uber France SAS dispose de locaux stables et réalise des campagnes de communication sur le territoire français, estime donc qu’elle dispose d’une installation stable au moyen de laquelle elle exerce une activité réelle et effective grâce à des moyens humains et techniques, remplissant ainsi le premier critère. En outre, Uber France SAS réalise ses campagnes marketing pour les services des sociétés du groupe Uber et assure un service de support auprès des clients et des conducteurs. La CNIL considère donc que le traitement est effectué dans le cadre des activités d’un établissement des responsables de traitement que sont Uber B.V. et Uber technologies Inc. Par conséquent, elle estime les deux critères posés par la loi remplis, ce qui permet l’application du droit français et le prononcé d’une sanction par la CNIL.
Sur le manquement à l’obligation d’assurer la sécurité et la confidentialité des données – La CNIL juge que, même si la plate-forme ayant permis la violation de données ne contenait aucune donnée personnelle, elle permettait d’accéder directement à une grande quantité de données relatives aux utilisateurs du service Uber, stockées sur les serveurs. Ainsi, Uber n’ayant pas mis en place de processus de retrait des habilitations des anciens ingénieurs, a commis une négligence grave.
En outre, la CNIL reproche à Uber de ne pas avoir sécurisé suffisamment ses identifiants de connexion. L’instruction de l’affaire avait en effet démontré que la société avait conscience que des identifiants d’accès existaient probablement dans son code source et que leur présence sur la plate-forme de développement était un facteur de risque. Malgré tout, aucune action n’avait été mise en oeuvre pour sécuriser ces accès.
Enfin, Uber n’avait pas mis en place de système de filtrage des adresses IP pour les collaborateurs souhaitant se connecter à distance aux serveurs de l’entreprise. Or, pour la CNIL, la sécurisation de cette connexion est une précaution élémentaire pour préserver la confidentialité des données qui aurait dû être instaurée dès le début de l’utilisation des services.
Sur le montant de la sanction et l’application de la loi dans le temps – Sous l’empire de l’ancienne loi Informatique et libertés, le montant maximal d’une amende était de 150 000 euros. Ce somme a été portée à 3 millions d’euros par la loi n°1321 du 7 octobre 2016 pour une République numérique, puis à 20 millions d’euros ou 4% du chiffre d’affaire mondial par la loi n°2018-493 du 20 juin 2018, transposant le règlement général sur la protection des données. La succession de ces textes prévoyant des montants de sanctions croissants rend essentielle la détermination de la date des agissements fautifs.
En l’espèce, bien que l’origine des manquements en cause soit antérieure à octobre 2016, la CNIL considère qu’il s’agit de manquements continus qui doivent donc être appréciés à l’aune de la loi applicable au moment de leur découverte, à savoir la loi pour une République numérique.
Enfin, le fait qu’aucun dommage n’ait été subi par les personnes concernées au jour du prononcé de l’amende ne permet pas d’établir qu’un préjudice ne pourra survenir par la suite. Les hackeurs ayant conservé les données, il leur sera toujours possible d’en faire usage ultérieurement. Uber ne peut donc prouver l’absence totale de dommage.
La CNIL démontre dans sa délibération qu’elle place la sécurité des données à caractère personnel au centre de ses préoccupations. Le montant élevé de l’amende et la publication de sa décision sont un signal envoyé aux différents acteurs, qui doit les inciter, en ce début d’année, à prendre de bonnes résolutions.
Auteurs
Eléonore Favero, avocat, droit de la propriété intellectuelle, droit de l’informatique, des communications électroniques et protection des données personnelles