Heureusement pour Uber, la faille de sécurité découverte en novembre 2017 et concernant des faits datant d'un an auparavant n'est pas sanctionnée sous le régime du RGPD qui ne s'est appliqué qu'en mai 2018. Pour l'heure, trois autorités de protection des données personnelles en Europe - contre 2 précédemment identifiées - ont sanctionné le service pour cette faille, chacune avec une amende conséquente : celle des Pays-Bas (600 000 euros, le 6 novembre 2018), de la Grande-Bretagne (385 000 livres, soit environ 425 000 euros, le 26 novembre) et la CNIL en France (400 000 euros). Bien entendu, le motif de la sanction est le manquement à l'obligation de sécuriser les données. Pour faire un exemple et aussi devant le nombre de victimes, la CNIL a rendu publique la sanction.

En 2016, donc, deux individus ont dérobé les données personnelles de 57 millions d'utilisateurs de ses services selon les propres déclarations d'Uber, obligé à une telle notification. L'ensemble des CNIL européennes (appelé à l'époque le G29 ou « groupe de l'article 29 ») a lancé, suite à la notification de novembre 2017, une enquête coordonnée. Par contre, les sanctions sont décidées ensuite par chaque autorité pour le pays dont elle a la charge. La facture n'est donc pas définitive : de nombreuses autorités nationales pourront encore ajouter des lignes.

Des identifiants en clair dans le code source

Le montant des sanctions peut paraître important mais les manquements et leurs conséquences l'ont été tout autant. Tout d'abord, la source de la faille était les dépôts de code source sur GitHub. Ce code source comportait en clair des identifiants permettant d'accéder au serveur sur Amazon S3 (sans filtrage des accès par adresse IP) hébergeant des données personnelles des clients. Mais l'accès à ce code source s'opérait par un simple couple mot de passe / identifiant, sans authentification forte.