La CNIL inflige 180 000 euros d’amende à un établissement de paiement
Le 03 janvier 2022 à 09h22
3 min
Droit
Droit
Le 28 décembre 2021, la société SLIMPAY a écopé d’une amende CNIL de 180 000 euros pour de multiples atteintes à la législation sur les données à caractère personnel. Cet établissement de paiement agréé « propose notamment des solutions de paiements récurrents à ses clients », rappelle la Commission.
Seulement, dans le cadre d’un projet de recherche lancé en 2015, « elle a utilisé les données personnelles contenues dans ses bases de données ». Or, « lorsque le projet de recherche s’est terminé en juillet 2016, les données sont restées stockées sur un serveur, qui ne faisait pas l’objet d’une procédure de sécurité particulière et qui était librement accessible depuis Internet ».
En février 2020, SLIMPAY s’est aperçue de la violation de données, et son importance : 12 millions de personnes, environ.
La CNIL, après contrôle, a repéré plusieurs violations du RGPD : « manquement à l’obligation d’encadrer, par un acte juridique formalisé, les traitements effectués par un sous-traitant », « manquement à l’obligation d’assurer la sécurité des données personnelles », manquement à l’obligation d’informer les personnes concernées…
L’accès au serveur « ne faisait l’objet d’aucune mesure de sécurité : il était possible d’y accéder à partir d’Internet entre novembre 2015 et février 2020 ». Y figuraient, « les données d’état civil (civilité, nom, prénom), les adresses postales et électroniques, les numéros de téléphone et des informations bancaires (BIC/IBAN) de plus de 12 millions de personnes »
La société, qui propose un guide pour prévenir la fraude aux moyens de paiement en ligne, a indiqué que ces informations n’avaient probablement pas été utilisées. La CNIL lui a rappelé que « l’absence de préjudice avéré pour les personnes concernées n’a pas d’incidence sur l’existence du défaut de sécurité ».
Le 03 janvier 2022 à 09h22
Commentaires (9)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 03/01/2022 à 09h33
Le 03/01/2022 à 10h51
WTF !
Le 03/01/2022 à 11h00
0.015 centimes d’amende pour la non sécurisation des données par utilisateur.
Pas cher.
Un montant certainement moins élevé que le profit fait avec la revente de ces données.
Le 03/01/2022 à 11h07
Ils ne les ont pas revendues, ils les ont laissées accessibles à tous gratuitement !
Le 03/01/2022 à 11h09
Ah mais eux je ne dis pas, mais ceux qui y ont eu accès ont bien pu en faire ce qu’ils voulaient!
Le 03/01/2022 à 12h53
Intéressant. Lors de la fuite de l’APHP sur les données de santé il y a quelques mois, on m’avait dit que tant que les données n’étaient pas utilisées (campagne de phising par exemple), on ne pouvait rien faire, et que l’organisme n’était pas pénalement responsable. Cette phrase prouve que la CNIL un autre avis (au moins pour les sanctions financières, pour le pénal j’ai toujours le doute).
Le 03/01/2022 à 13h35
Donc ce sont eux qui se sont aperçu de l’oublie de cette BD. Ils ont corrigé le soucis (suppression?) mais se prennent quand même une amende car ils en ont informé la CNIL ?! Si j’ai bien compris, je trouve ça fort de café.
Après, pour le «Un manquement à l’obligation d’information d’une violation de données personnelles aux personnes concernées» je suis d’accord que s’ils n’en ont pas informé les gens, là il y a un souci. Mais pour le reste…
Le 03/01/2022 à 15h07
Disons que si demain vous commetez un délit puis que vous allez vous dénoncer à la gendarmerie, la sanction pourra toujours être amoindrie mais elle ne sera pas effacée du simple fait que vous vous soyez vous même dénoncé.
En l’occurence un organisme de paiement qui laisse en libre accès les données personnelles et bancaires de 12 000 000 de clients pendant plusieurs années, c’est pas rien..
Le 04/01/2022 à 14h17
Effectivement, vu comme ça, ça me parait plus logique 🙃