Le 28 décembre 2021, la CNIL a prononcé une amende d’un montant de 180 000 euros à l’encontre de SLIMPAY, en raison d’un manquement de la société à son obligation de sécurité des données personnelles de ses utilisateurs, et d’une absence de communication de la violation à ces derniers.
En 2015, à l’occasion d’un projet de recherche interne sur un mécanisme de lutte contre la fraude, SLIMPAY, établissement de paiement agréé proposant des services de paiement « SEPA », a réutilisé des données à caractère personnel contenues dans ses bases de données à des fins de test. Elle a ainsi importé des données à caractère personnel de débiteurs sur un serveur.
Lorsque le projet de recherche s’est terminé, en 2016, les données sont restées stockées sur ce serveur, qui ne faisait pas l’objet d’une procédure de sécurité particulière et qui était librement accessible depuis Internet. Etaient ainsi notamment accessibles l’état civil et les coordonnées bancaires de douze millions de débiteurs.
Alertée en 2020 par un de ses clients, SLIMPAY a, afin de mettre un terme à cette violation, « immédiatement procédé à l’isolement du serveur et à la mise sous séquestre de données » et a notifié cette violation à la CNIL.
A la suite de cette notification, la CNIL a procédé à un contrôle, au cours duquel il lui est apparu que :
- certains contrats conclus par SLIMPAY avec ses sous-traitants n’incluaient pas l’ensemble des mentions obligatoires au titre de l’article 28 du RGPD ;
- l’accès au serveur contenant les données « n’était encadré d’aucune mesure de restriction d’accès satisfaisant», les données n’étaient pas chiffrées et aucune mesure de journalisation n’était mise en œuvre, de sorte que les actions effectuées sur le serveur n’étaient pas détectées ;
- SLIMPAY n’a pas communiqué la violation aux personnes concernées, pourtant exposées « au risque d’une réutilisation de leurs données à caractère personnel par des attaquants», notamment dans le cadre d’opérations de « phishing »
En défense, SLIMPAY a indiqué que le projet de recherche ayant débuté en 2015, le RGPD n’était pas applicable. La CNIL a retorqué que, le défaut de sécurité ayant perduré après le 25 mai 2018, le RGPD était bien applicable audit défaut de sécurité.
La CNIL a considéré, au vu de ce qui précède, que SLIMPAY avait manqué aux obligations suivantes :
- les obligations en matière de sous-traitance prescrites par les paragraphes 3 et 4 de l’article 28 du RGPD ;
- l’obligation d’assurer la sécurité des données ;
- l’obligation de communiquer aux personnes concernées la violation de données.
La CNIL a, en conséquence, prononcé une amende administrative de 180 000 € à l’encontre de SLIMPAY et a rendu publique sa délibération.
