Recevez chaque jour toute l'actualité du numérique

x

A la suite d'une violation de données, Slimpay écope d'une amende de 180 000 euros par la Cnil

La fintech Slimpay, qui propose des solutions de gestion des abonnements et des paiements récurrents, a manqué à ses obligations prévues dans le RGPD, d'après la Cnil qui lui a infligé une amende de 180 000 euros. Elle a insuffisamment protégé les données personnelles de ses utilisateurs et ne les a pas informé d'une violation de données qui a concerné 12 millions de personnes. En effet, à la suite d'un projet de recherche interne, elle a laissé les données stockées sur un serveur sans sécuriser son accès.
Twitter Facebook Linkedin Flipboard Email
×

A la suite d'une violation de données, Slimpay écope d'une amende de 180 000 euros par la Cnil
A la suite d'une violation de données, Slimpay écope d'une amende de 180 000 euros par la Cnil © Pickawood/Unsplash

La formation restreinte de la Commission nationale de l'informatique et des libertés (Cnil) a infligé une amende de 180 000 euros à la start-up Slimpay pour avoir insuffisamment protégé les données personnelles de ses utilisateurs et de ne pas les avoir informé d'une violation de données. Cette décision, rendue le 28 décembre 2021, peut faire l'objet d'un appel devant le Conseil d'Etat dans un délai deux mois à compter de sa notification. 

Fondée en 2009, Slimpay propose à ses clients, baptisés "marchands", un logiciel de paiement en ligne spécialisé dans les abonnements et les paiements récurrents. Son API est aujourd'hui utilisée par Deezer, EDF, l'Unicef ou encore Nespresso. Dans le cadre de ses services, elle traite les données personnelles "des débiteurs personnes physiques des marchands", détaille la Cnil dans sa délibération. 

aucune sécurisation du serveur
En 2015, la jeune pousse a lancé un projet de recherche interne sur un mécanisme de lutte contre la fraude. Dans ce cade, elle a réutilisé des données personnelles contenues dans ses bases de données à des fins de test. Elles ont été importées sur un serveur puis y sont restées stocker malgré la fin du projet.

Elles étaient alors librement accessible depuis Internet, rapporte la Commission. Un danger soulevé par l'un des clients de Slimpay en février 2020 provoquant l'isolement du serveur et la mise sous séquestre des données "en vue de mettre fin à la violation de données". L'entreprise a notifié cet incident à la Cnil comme le Règlement général sur la protection des données l'y oblige. 

Les données personnelles d'environ "12 millions de débiteurs uniques" ont été concernées par cette violation. Il s'agit des données d'état civil, des coordonnées postales, électroniques et téléphoniques ainsi que des informations bancaires (BIC et IBAN), détaille la Cnil.

Des contrats gravement incomplets
Plusieurs manquements au RGPD ont été constatés par la Cnil lors de ses contrôles. Tout d'abord, elle note que certains des contrats conclus par la start-up avec ses prestataires ne contiennent pas "toutes les clauses permettant de s'assurer que ces sous-traitants s'engagent à traiter les données personnelles en conformité avec le RGPD". Pire encore, certains contrats ne contiennent aucune de ces mentions.

De plus, l'autorité a jugé que Slimpay avait manqué à son obligation d'assurer la sécurité des données personnelles. Pour se défendre, la jeune pousse a fait valoir que les données exposées n’ont probablement pas été utilisées frauduleusement. Mais la Cnil a déclaré que l'absence de préjudice avéré pour les personnes concernées n'a pas d'incidence sur l'existence d'un défaut de sécurité.

Un risque "élevé" pour les données personnelles
Enfin, dans sa décision, la Cnil a retenu un manquement à l'obligation d'information d'une violation de données personnelles aux personnes concernées. En effet, compte tenu de la nature sensible des données, du nombre de victimes et de la possibilité d'identification, le risque aurait dû être qualifié "d'élevé" au sens du RGPD.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.