Le secrétaire d’Etat au numérique, Mounir Mahjoubi, a écrit jeudi 23 novembre au PDG d’Uber, Dara Khosrowshahi, après l’annonce du piratage des données personnelles de 57 millions d’usagers, pour lui demander des explications sur d’éventuelles victimes françaises.

« Face au danger que représente l’exploitation de ces données, je souhaite vous exprimer mon inquiétude quant à l’éventuelle présence en très grand nombre de clients et chauffeurs français » parmi les victimes, souligne M. Mahjoubi, dans un courrier dont l’Agence France-Presse a obtenu une copie.

« Pouvez-vous à ce jour nous indiquer si des utilisateurs français sont concernés et si oui combien, et de quel type sont les données qui ont été dérobées », interroge-t-il. « Au regard du danger existant, nous aimerions que vous informiez volontairement les utilisateurs concernés ainsi que les autorités françaises », insiste le secrétaire d’Etat chargé du numérique.

M. Mahjoubi demande aussi « quelles mesures techniques et organisationnelles sont mises en place pour informer et accompagner les utilisateurs ».

« Une importance qui donne des responsabilités »

Uber n’a pas détaillé qui étaient les victimes de cette fuite d’informations remontant à la fin de 2016, et qu’il avait dissimulée, mais de nombreux Français sont vraisemblablement concernés. Le chiffre de 57 millions est en effet énorme, quand on sait que l’ancien patron, Travis Kalanick, déclarait compter 40 millions d’utilisateurs actifs dans le monde en octobre 2016 – soit plus ou moins au moment des faits.

Mounir Mahjoubi s’étonne ainsi qu’Uber n’ait « pas signalé cet incident » auprès de la Commission nationale de l’informatique et des libertés (CNIL) et de l’Agence nationale de la sécurité des systèmes d’information (Anssi), responsables respectivement de la protection des citoyens et de la coordination de la défense française contre les pirates informatiques, qui ont été mises en copie de son courrier.

Il aurait également apprécié que le groupe américain se signale « auprès des utilisateurs concernés ». « Au regard du nombre de vos clients, vous avez une importance qui vous donne des responsabilités », souligne M. Mahjoubi, rappelant qu’en mai 2018, un règlement européen rendra les entreprises responsables des données personnelles qu’elles détiennent, et leur imposera de signaler rapidement les incidents.

Selon Uber, les noms, les adresses électroniques et les numéros de téléphone des victimes ont été subtilisés. Le groupe américain de réservation de voitures avec chauffeur affirme qu’aucune information bancaire n’a été exfiltrée, pas plus que les dates de naissance et les historiques de trajets.