Aux Pays-Bas, l’Autorité de protection des données personnelles a infligé une amende de 600 000 euros contre le service de VTC. Au Royaume-Uni, la Commission de protection des données (ICO) a porté la note à 385 000 livres (435 000 euros). La sanction suit une large fuite de données datée d’octobre et novembre 2016.

Parmi les données volées figurent les noms, adresses email et numéros de téléphone de chauffeurs et clients. L’ICO dénonce « une série de failles de sécurité évitables » qui a mené à l’essai des identifiants volés sur d’autres services, pour voir si les internautes utilisent le même couple nom d’utilisateur et mot de passe partout.

Surtout, l’autorité britannique tance le « mépris complet d’Uber pour les clients et chauffeurs dont les données ont été volées », la société ne les prévenant pas pendant une année. La société a tenté d’étouffer l’affaire en payant 100 000 dollars (88 000 euros) aux pirates pour qu’ils suppriment les données.

La fuite de données a touché 57 millions de personnes dans le monde, dont 174 000 aux Pays-Bas et 2,7 millions au Royaume-Uni (82 000 chauffeurs compris). La fuite et les enquêtes précédant le Règlement général sur la protection des données (RGPD), appliqué depuis le 25 mai, les sanctions dépendent de la législation précédente, plus clémente.