Des données personnelles issues de 57 millions de comptes Uber ont été piratées. / LIONEL BONAVENTURE / AFP

« Pouvez-vous à ce jour nous indiquer si des utilisateurs français sont concernés, et si oui, combien ? » Jeudi 23 novembre, le secrétaire d’Etat français au numérique, Mounir Mahjoubi, transmettait une lettre sévère à Uber, deux jours après la révélation d’un piratage massif concernant les données de 57 millions d’utilisateurs dans le monde.

La France n’est pas la seule à s’inquiéter et à demander des comptes à l’entreprise de transport. D’autant que la façon dont Uber a géré ce piratage est loin d’être exemplaire : l’entreprise a mis plus d’un an avant d’en informer ses utilisateurs, préférant dissimuler l’incident en payant une rançon de 100 000 dollars (85 000 euros) aux pirates, selon les informations de la chaîne américaine Bloomberg, qui a dévoilé l’affaire.

Pis, a révélé jeudi le Wall Street Journal, l’entreprise a d’abord informé une banque japonaise, Softbank, trois semaines avant de dévoiler le piratage à ses utilisateurs et aux autorités compétentes. Softbank est actuellement en discussions avec Uber pour investir dans l’entreprise. « Nous avons informé Softbank que nous enquêtions sur une fuite de données, en conformité avec notre devoir d’information envers un investisseur potentiel, même si l’information dont nous disposions à l’époque était préliminaire et incomplète », s’est justifié Uber dans un communiqué. « Une fois que notre enquête interne fut terminée (), nous avons informé les régulateurs et nos clients. »

Enquêtes et « class actions »

Dans plusieurs pays, les autorités de protection des données personnelles ont annoncé l’ouverture d’enquêtes sur ce piratage et la façon dont Uber l’a géré, comme au Royaume-Uni, en Australie ou encore aux Philippines. En Europe, le G29, qui rassemble les gendarmes européens de la vie privée, a prévu de se réunir la semaine prochaine à ce sujet, afin d’envisager une coordination des enquêtes.

Aux Etats-Unis, les procureurs de six Etats ont également commencé à se pencher sur la question, aux côtés de la Federal Trade Commission, l’autorité américaine chargée de la protection des consommateurs. Aux Etats-Unis comme dans un certain nombre d’autres pays, la loi impose aux entreprises victimes d’une fuite de données d’en informer les victimes potentielles.

Parallèlement, deux class actions ont été lancées contre Uber aux Etats-Unis, lui reprochant de ne pas avoir révélé plus tôt le piratage, arguant que cela porte préjudice à ses clients.