Le 28 décembre 2021, la société SLIMPAY a écopé d’une amende CNIL de 180 000 euros pour de multiples atteintes à la législation sur les données à caractère personnel. Cet établissement de paiement agréé « propose notamment des solutions de paiements récurrents à ses clients », rappelle la Commission.
Seulement, dans le cadre d’un projet de recherche lancé en 2015, « elle a utilisé les données personnelles contenues dans ses bases de données ». Or, « lorsque le projet de recherche s’est terminé en juillet 2016, les données sont restées stockées sur un serveur, qui ne faisait pas l’objet d’une procédure de sécurité particulière et qui était librement accessible depuis Internet ».
En février 2020, SLIMPAY s’est aperçue de la violation de données, et son importance : 12 millions de personnes, environ.
La CNIL, après contrôle, a repéré plusieurs violations du RGPD : « manquement à l’obligation d’encadrer, par un acte juridique formalisé, les traitements effectués par un sous-traitant », « manquement à l’obligation d’assurer la sécurité des données personnelles », manquement à l’obligation d’informer les personnes concernées…
L’accès au serveur « ne faisait l’objet d’aucune mesure de sécurité : il était possible d’y accéder à partir d’Internet entre novembre 2015 et février 2020 ». Y figuraient, « les données d’état civil (civilité, nom, prénom), les adresses postales et électroniques, les numéros de téléphone et des informations bancaires (BIC/IBAN) de plus de 12 millions de personnes »
La société, qui propose un guide pour prévenir la fraude aux moyens de paiement en ligne, a indiqué que ces informations n’avaient probablement pas été utilisées. La CNIL lui a rappelé que « l’absence de préjudice avéré pour les personnes concernées n’a pas d’incidence sur l’existence du défaut de sécurité ».
Commentaires (9)
#1
#2
WTF !
#3
0.015 centimes d’amende pour la non sécurisation des données par utilisateur.
Pas cher.
Un montant certainement moins élevé que le profit fait avec la revente de ces données.
#3.1
Ils ne les ont pas revendues, ils les ont laissées accessibles à tous gratuitement !
#3.2
Ah mais eux je ne dis pas, mais ceux qui y ont eu accès ont bien pu en faire ce qu’ils voulaient!
#4
Intéressant. Lors de la fuite de l’APHP sur les données de santé il y a quelques mois, on m’avait dit que tant que les données n’étaient pas utilisées (campagne de phising par exemple), on ne pouvait rien faire, et que l’organisme n’était pas pénalement responsable. Cette phrase prouve que la CNIL un autre avis (au moins pour les sanctions financières, pour le pénal j’ai toujours le doute).
#5
Donc ce sont eux qui se sont aperçu de l’oublie de cette BD. Ils ont corrigé le soucis (suppression?) mais se prennent quand même une amende car ils en ont informé la CNIL ?! Si j’ai bien compris, je trouve ça fort de café.
Après, pour le «Un manquement à l’obligation d’information d’une violation de données personnelles aux personnes concernées» je suis d’accord que s’ils n’en ont pas informé les gens, là il y a un souci. Mais pour le reste…
#6
Disons que si demain vous commetez un délit puis que vous allez vous dénoncer à la gendarmerie, la sanction pourra toujours être amoindrie mais elle ne sera pas effacée du simple fait que vous vous soyez vous même dénoncé.
En l’occurence un organisme de paiement qui laisse en libre accès les données personnelles et bancaires de 12 000 000 de clients pendant plusieurs années, c’est pas rien..
#7
Effectivement, vu comme ça, ça me parait plus logique 🙃