En novembre 2017, la société Uber a révélé dans la presse quun an auparavant, deux individus avaient dérobé les données personnelles dutilisateurs de ses services. Ils y ont téléchargé des informations relatives à 57 millions dutilisateurs, dont 1,4 millions situés sur le territoire français.
Cependant, la formation restreinte de la Commission nationale de linformatique et des libertés (Cnil) a estimé cette attaque naurait pu aboutir si certaines mesures élémentaires en matière de sécurité avaient été mises en place.
De ce fait, le 19 décembre 2018, la formation restreinte estime que la société a manqué à son obligation de sécurité des données personnelles. Elle condamne la société Uber France SAS, établissement des sociétés Uber Technologies Inc. et Uber B.V, à une amende de 400.000 .
Au regard du nombre très important de personnes concernées et de la nécessité de sensibiliser les opérateurs, la formation restreinte a par ailleurs décidé de rendre publique cette décision.