Skip to content
Cyber Breaches
Recherche
Fuite de donnéesRésolu

Affaire d'application de la sécurité des données contre Didi Global

Le régulateur chinois du cyberespace a infligé au géant du VTC Didi Global une amende de 8,026 milliards de RMB (environ 1,2 milliard de dollars) après qu'un examen d'un an a établi 16 violations de la loi sur la cybersécurité, de la loi sur la sécurité des données et de la loi sur la protection des informations personnelles, dont la collecte illégale de données de reconnaissance faciale, de localisation et de presse-papiers auprès de centaines de millions de passagers et de chauffeurs.

Victime
Didi Global
Perte
$1.20B
Secteurtransportation
PaysChine

Le 21 juillet 2022, l'Administration du cyberespace de Chine (CAC) a infligé une amende de 8,026 milliards de RMB — soit environ 1,2 milliard de dollars — au leader du VTC Didi Global, clôturant un examen de cybersécurité d'un an. Il s'agit de la plus lourde sanction en matière de protection des données de l'histoire chinoise et de l'une des premières à invoquer simultanément les trois piliers du nouveau régime chinois des données.

Contexte

Deux jours seulement après l'introduction en bourse de Didi à New York pour 4,4 milliards de dollars le 30 juin 2021, la CAC a annoncé un examen de cybersécurité et, en quelques jours, ordonné le retrait de l'application de Didi des magasins d'applications chinois. Vingt-cinq applications associées ont été retirées pour collecte illégale d'informations personnelles. Le calendrier — immédiatement après une cotation à l'étranger que le régulateur aurait déconseillée — a conduit de nombreux observateurs à voir dans cette action en partie un message sur la souveraineté des données et les cotations offshore.

Les violations

La CAC a conclu que Didi avait commis 16 violations distinctes couvrant des agissements depuis juin 2015, enfreignant la loi sur la cybersécurité (2017), la loi sur la sécurité des données (sept. 2021) et la loi sur la protection des informations personnelles (nov. 2021). Les régulateurs ont affirmé que Didi avait illégalement collecté, entre autres :

  • Des captures d'écran et le contenu du presse-papiers des téléphones des utilisateurs
  • Des dizaines de millions d'éléments de données de reconnaissance faciale et des relevés précis de localisation / GPS
  • Des données d'identité de chauffeurs et de passagers, de profession, de relations familiales et de déplacements
  • Des données traitées d'une manière qui mettait en danger la sécurité nationale des données

La CAC a qualifié ces agissements de sur-collecte à grande échelle touchant les centaines de millions d'utilisateurs et de chauffeurs de Didi, plutôt que d'une intrusion externe unique.

Impact

  • Amende d'entreprise de 8,026 milliards de RMB (~1,2 milliard de dollars).
  • Amendes personnelles de 1 million de RMB chacune contre le président-directeur général et le président de Didi.
  • Didi s'est retirée de la Bourse de New York en juin 2022 sous la pression et a vu son application suspendue des magasins chinois pendant près d'un an.

Pourquoi c'est important

L'affaire Didi est l'action répressive emblématique de l'ère moderne de la protection des données en Chine. Contrairement à une fuite provoquée par des pirates, elle a établi que la collecte excessive et non consentie de données constitue en soi un manquement punissable à la sécurité dans le cadre CSL/DSL/PIPL, avec des sanctions calibrées sur un pourcentage du chiffre d'affaires, à la manière du RGPD. Elle a également signalé que Pékin traite les vastes ensembles de données de mobilité et biométriques des citoyens comme une question de sécurité nationale, avec des conséquences directes sur les lieux où les entreprises technologiques chinoises peuvent être cotées et sur la manière dont elles peuvent traiter les données.

Impact financier

Coûts déclarés en USD

Perte totale déclarée
1.20B
USD · 1 200 000 000 $US
  • Amendes & règlements$1.20B

Chronologie

  1. Didi lève 4,4 milliards de dollars lors d'une introduction en bourse à New York, malgré un malaise réglementaire signalé quant à la cotation à l'étranger et au traitement des données.

  2. L'Administration du cyberespace de Chine (CAC) annonce un examen de cybersécurité sur Didi et ordonne le retrait de l'application des magasins d'applications chinois quelques jours plus tard.

  3. 25 applications liées à Didi sont retirées des magasins d'applications pour collecte illégale d'informations personnelles.

  4. Didi se retire de la Bourse de New York sous la pression réglementaire persistante.

  5. La CAC inflige à Didi une amende de 8,026 milliards de RMB (~1,2 milliard de dollars) pour 16 violations et sanctionne deux dirigeants d'une amende de 1 million de RMB chacun.

Sources

  1. mayerbrown.comhttps://www.mayerbrown.com/en/insights/publications/2022/08/the-cac-is-comingdidi-chuxing-fined-a-recordbreaking-usd-12-billion-for-breach-of-data-protection-regulations
  2. cnn.comhttps://www.cnn.com/2022/07/21/economy/china-fines-didi-data-law-violation-intl-hnk
  3. washingtonpost.comhttps://www.washingtonpost.com/world/2022/07/21/china-didi-fine-data-security/
  4. china-briefing.comhttps://www.china-briefing.com/news/didi-cyber-security-review-which-laws-did-didi-break/

Incidents liés

Fuite de donnéesunresolved

Fuite de la base de données de la police nationale de Shanghai

Une base de données exposée du Bureau de la sécurité publique de Shanghai a permis à un pirate connu sous le nom de « ChinaDan » de proposer 23 téraoctets de données sur environ 1 milliard de résidents chinois — noms, numéros de carte d'identité nationale, numéros de téléphone, adresses et dossiers d'affaires de police — pour 10 bitcoins, dans ce qui est largement considéré comme la plus grande fuite de données gouvernementale de l'histoire de la Chine.

Victim
Police nationale de Shanghai (Bureau de la sécurité publique de Shanghai)
Records
1.00B
Fuite de donnéesEn cours

Fuite des dossiers étudiants de l'Université de Nottingham revendiquée par ShinyHunters (2026)

L'Université de Nottingham a confirmé un incident informatique après que le groupe d'extorsion ShinyHunters a affirmé avoir volé environ 40 Go de données de son système de dossiers étudiants, exposant quelque 455 000 adresses e-mail ainsi que des noms, numéros de passeport et informations de paiement des frais.

Victim
University of Nottingham
Records
455.0K
Fuite de donnéesRésolu

Fuite de données Sina Weibo

Les données personnelles de 538 millions de comptes Sina Weibo — dont les numéros de téléphone de 172 millions d'utilisateurs — ont été mises en vente sur le dark web pour environ 250 $, dans une fuite que Weibo a attribuée à un abus de correspondance de carnet d'adresses remontant à 2018. Le ministère chinois de l'Industrie a convoqué l'entreprise au sujet de sa gestion des données personnelles.

Victim
Sina Weibo
Records
538.0M
Fuite de donnéesRésolu

Fuite de données Youku (2016)

Fin 2016, la principale plateforme vidéo en ligne chinoise Youku a subi une fuite de données exposant environ 92 millions de comptes utilisateur uniques ainsi que des noms d'utilisateur et des mots de passe hachés en MD5, qui ont ensuite circulé sur des places de marché du dark web.

Victim
Youku
Records
91.9M