Home

Entreprises qui nous ont choisis

Privacy Officer et Privacy Consultant
Schéma CDP selon ISO/IEC 17024:2012
European Privacy Auditor
Système de certification ISDP©10003 selon ISO/IEC 17065:2012
Auditor
Selon la norme UNI 11697:2017
Lead Auditor ISO/IEC 27001:2022
Selon la norme ISO/IEC 17024:2012
Délégué à la Protection des données
Selon la norme ISO/IEC 17024:2012
Anti-Bribery Lead Auditor Expert
Selon la norme ISO/IEC 17024:2012
ICT Security Manager
Selon la norme UNI 11506:2017
IT Service Management (ITSM)
Selon la Fondation ITIL
Ethical Hacker (CEH)
Selon EC-Council
Network Defender (CND)
Selon EC-Council
Computer Hacking Forensics Investigator (CHFI)
Selon EC-Council
Penetration Testing Professional (CPENT)
Selon EC-Council

Qualifications professionnelles

Restez au courant de l'actualité mondiale!

Sélectionnez les thèmes qui vous intéressent:

News

Home / News
/
AUTORITÉ DE CONTRÔLE AUSTRALIENNE: Uber a nui à la vie privée

AUTORITÉ DE CONTRÔLE AUSTRALIENNE: Uber a nui à la vie privée

La commissaire à l’information et commissaire à la protection de la vie privée de l’Australie, Angelene Falk, a déterminé qu’Uber Technologies, Inc. et Uber B.V. ont nui à la vie privée d’environ 1,2 million d’Australiens.

Le commissaire Falk a constaté que les sociétés Uber n’ont pas protégé de manière appropriée les données personnelles des clients et des conducteurs australiens, qui ont été consultées lors d’une cyberattaque en octobre et novembre 2016.

Cette décision fait suite à des enquêtes détaillées menées auprès d’Uber Technologies Inc aux États-Unis et d’Uber B.V. aux Pays-Bas, qui portaient sur des questions juridictionnelles importantes et sur des arrangements d’entreprise et des flux d’information complexes.

Bien qu’Uber ait exigé que les agresseurs détruisent les données et qu’il n’y ait aucune preuve d’une autre utilisation abusive, l’enquête menée par le Bureau du commissaire à l’information de l’Australie (OAIC) visait à déterminer si Uber avait mis en place des mesures préventives pour protéger les données des Australiens.

Le commissaire Falk a conclu que les sociétés Uber avaient enfreint la Privacy Act de 1988 en ne prenant pas de mesures raisonnables pour protéger les renseignements personnels des Australiens contre tout accès non autorisé et pour détruire ou dépersonnaliser les données au besoin. Ils n’ont pas non plus pris de mesures raisonnables pour mettre en œuvre des pratiques, des procédures et des systèmes visant à assurer le respect des Principes australiens sur la protection des renseignements personnels.

Plutôt que de divulguer la violation de manière responsable, Uber a payé les attaquants une récompense par un programme de prime de bogue pour identifier une vulnérabilité de sécurité. Uber n’a pas procédé à une évaluation complète des renseignements personnels qui auraient pu être consultés avant près d’un an après l’atteinte à la protection des données et n’a pas divulgué publiquement l’atteinte à la protection des données avant novembre 2017.

Une mesure réglementaire était justifiée en Australie à la suite de mesures prises dans d’autres pays relativement à la cyberattaque.

L’Autorité veut s’assurer qu’à l’avenir, Uber protège les renseignements personnels des Australiens conformément à la Loi sur la protection des renseignements personnels.

L’affaire soulève également des questions complexes concernant l’application de la Loi sur la protection des renseignements personnels aux entreprises établies à l’étranger qui confient le traitement des renseignements personnels des Australiens à d’autres entreprises de leur groupe.

En l’espèce, les renseignements personnels des Australiens avaient été directement transférés à des serveurs aux États-Unis dans le cadre d’une entente d’externalisation, et la société établie aux États-Unis a soutenu qu’elle n’était pas assujettie à la Privacy Act.

La commissaire Falk a déclaré qu’elle était convaincue que les deux sociétés Uber étaient tenues de se conformer à la Loi sur la protection des renseignements personnels.

Cette décision rend claire la vision des responsabilités des sociétés mondiales en vertu de la loi australienne sur la protection des renseignements personnels.

Les Australiens doivent avoir l’assurance qu’ils sont protégés par la Loi sur la protection des renseignements personnels lorsqu’ils fournissent des renseignements personnels à une entreprise, même s’ils sont transférés à l’étranger au sein du groupe de sociétés.

Le commissaire Falk a ordonné aux sociétés Uber de:

  • préparer, mettre en œuvre et tenir à jour une politique de conservation et de destruction des données, un programme de sécurité de l’information et un plan d’intervention en cas d’incident qui garantiront que les entreprises se conforment aux principes australiens de protection des renseignements personnels;
  • nommer un expert indépendant pour examiner et faire rapport sur ces politiques et programmes et leur mise en œuvre, soumettre les rapports au OIAC et apporter les changements recommandés dans les rapports.

SOURCE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELL’AUSTRALIA – OAIC

Proposé pour vous

Recherche avancée