Un écart de divulgation de 1 an du piratage

À la fin de 2016, une fuite de données d’Uber a compromis les données de 600 000 chauffeurs aux États-Unis et certaines informations personnelles (lire : pas les cartes de crédit) de 57 millions d’utilisateurs d’Uber dans le monde. Pour l « échelle, à la fin de 2016, le PDG de l » époque, Kalanick, a déclaré qu’Uber comptait 40 millions d’utilisateurs actifs.

Ce n’est qu’en novembre 2017 qu’Uber a publié une déclaration officielle sur le sujet. Pour répondre aux préoccupations des parties prenantes, ils ont offert une surveillance gratuite du crédit à leurs chauffeurs, mais pas aux usagers, car ils « ne croient pas qu’un passager individuel doive prendre des mesures »

Pour ajouter à ce cauchemar, entre la fuite de données et la divulgation, Uber a clôturé 2 rondes de financement, en avril et septembre 2017. Compte tenu de ces rondes, on ne peut qu’espérer, pour la crédibilité d’Uber, que les investisseurs étaient au courant de la violation.

Ce n’était pas leur première atteinte majeure à la protection des données. En 2014, ils n’ont pas divulgué une atteinte en temps opportun, bien qu’elle soit de moindre envergure.

Exigences réglementaires en matière de divulgation

Il y aura beaucoup plus d’informations à en ressortir à mesure que les organismes de réglementation commenceront à patauger dans les détails de la violation et le retard dans l’apurement. En ce qui concerne l’avenir, si nous étions en 2018, Uber ferait probablement face à une violation du RGPD avec des amendes dépassant 20 millions d’euros, puisqu’il a fallu plus que les 72 heures désignées (il a fallu près d’un an!) pour divulguer la violation.

Uber pourrait gérer les frais de 20 millions d’euros. C’est un chiffre élevé, mais petit par rapport aux quelque 11 milliards de dollars qu’ils ont recueillis. Le coup de relations publiques qu’ils subissent pourrait être plus important. Lorsque Uber a tenté de s’attirer les faveurs en promettant des trajets à l’aéroport de New York alors que les chauffeurs de taxi locaux faisaient grève pour protester contre l’interdiction de voyager de Trump en 2017, 200 000 utilisateurs ont #delete(d)Uber – près de 0,5% de leurs utilisateurs (en supposant qu’ils étaient actifs).

L’utilisateur actif moyen d’Uber dépense 50 $ par mois. Cela équivaut à 10 millions de dollars par mois en pertes de revenus – c’est un chiffre très important, surtout compte tenu des petites marges sur lesquelles Uber opère. Nous n’avons pas non plus d’idée de l’impact que cela pourrait avoir sur le nombre de chauffeurs et la disponibilité du service qui en résulte, alors que le mouvement #deleteUber a certainement été l’un des plus grands cadeaux que Lyft et d’autres concurrents aient jamais vus.

Pendant ce temps, aux États-Unis

Alors que le RGPD a une fenêtre de divulgation de 72 heures, aux États-Unis, c’est actuellement (beaucoup) plus compliqué. Chaque État a élaboré ses propres politiques, ce qui rend non seulement plus difficile les procédures judiciaires contre les entreprises, mais aussi les entreprises.

Si vous souhaitez parcourir les règlements État par État, vous pouvez consulter une liste du jargon juridique ici. Étonnamment, l’Alabama et le Dakota du Nord ne semblent même pas avoir de lois sur le sujet!

L’administration Obama s’est efforcée d’imposer 30 jours comme « délai maximal raisonnable » pour divulguer les violations de données, mais, comme vous pouvez vous en douter, vous devrez utiliser la Wayback Machine pour y accéder sur le site Web de la Maison-Blanche.

Il est tout à fait impératif que cela se fasse. Cela doit être fait pour faciliter la navigation des PME dans les exigences légales. Elle doit fournir une norme unifiée pour divulguer les atteintes à la protection des données et protéger les utilisateurs dont les informations ont été compromises. Il devrait préciser l’exigence décrivant comment les sociétés doivent prendre des mesures correctives.

Je n’entrerai même pas dans les implications de la SEC et des délits d’initiés.

Devriez-vous être sûr que vos données sont détenues par Uber? Votre supposition est probablement aussi bonne que la nôtre. Un écart de 1 an dans la divulgation est très inquiétant et de nombreux dommages peuvent survenir dans ce laps de temps. Une étape très importante pour rassurer les consommateurs serait de créer une politique nationale.

Soit dit en passant, au Canada, la LPRPDE (Loi sur la protection des renseignements personnels et les documents électroniques) exige que les atteintes à la vie privée et que les mesures appropriées soient prises pour aviser les clients et remédier à la situation, mais aucun délai ne semble être stipulé.

Votre entreprise pourrait-elle survivre à une violation de données?

Alors qu’Uber continuera à se battre un autre jour, à quelle vitesse vos utilisateurs vous abandonneraient-ils? Pourriez-vous vous permettre une perte de cette ampleur dans un marché concurrentiel?

Il devient de plus en plus évident que prendre des risques avec la conformité, la sécurité des données et les cauchemars de relations publiques liés à la sécurité devrait avoir une tolérance zéro dans votre organisation. Le faible coût pour votre entreprise de sécuriser votre cybersécurité, vos données et vos courriels mérite d’être un facteur fondamental de votre stratégie informatique, sinon vous êtes confronté à un risque très grave, peut-être terminal.