Le 30 décembre 2021, la CNIL a rendu publique sa décision n°SAN-2021-020 visant à sanctionner la société SlimPay à hauteur de 180 000 € à la suite d’une violation de données.
Fait notable : la CNIL a rendu sa décision en coopération avec les autorités de contrôle de quatre pays (Allemagne, Espagne, Italie et Pays-Bas) du fait que les personnes concernées par la violation de données se trouvaient dans plusieurs pays de l’Union européenne,
La société SlimPay est un établissement de paiement agréé qui propose notamment des solutions de paiements récurrents à ses clients.
Courant 2015, SlimPay a mené un projet de recherche interne au cours duquel ont été utilisées des données personnelles contenues dans ses bases de données. Au terme de ce projet en juillet 2016, ces données sont restées stockées sur un serveur non sécurisé et accessible en ligne. SlimPay ne s’est aperçu de cette faille qu’en février 2020. C’est dans ce contexte que la CNIL a réalisé un contrôle de l’entreprise et a constaté plusieurs manquements au RGPD.
Les données personnelles compromises concernaient plus de 12 millions d’individus dans plusieurs pays de l’Union européenne et comprenaient notamment des données d’état civil, des adresses postales et électroniques, des numéros de téléphone et des informations bancaires (numéros BIC et IBAN).
Bien que SlimPay ait indiqué que les données n’ont probablement pas été utilisées frauduleusement durant la période 2015-2020, la CNIL a retenu un manquement à l’article 32 du RGPD en ce que l’entreprise a manqué à son obligation de mettre en œuvre des mesures de sécurité adéquates de ces données personnelles. La CNIL a considéré que l’absence de préjudice avéré pour les personnes concernées n’avait pas d’incidence sur l’existence du défaut de sécurité.
Dans le cadre de son contrôle, la CNIL a constaté que certains des contrats conclus par SlimPay avec ses prestataires ne contenaient pas l’intégralité des clauses permettant de s’assurer qu’ils s’engagent à traiter les données personnelles en conformité avec le RGPD.
Enfin, compte tenu de l’ampleur de l’exposition des données personnelles, tant dans leur nature que dans leur volume et des conséquences éventuelles pour les personnes concernées, la CNIL a considéré que le risque associé à la violation de ces données devait être considéré comme élevé. Conformément à l’article 34 du RGPD, SlimPay aurait donc dû informer dûment toutes les personnes concernées, ce qu’elle n’a pas fait.
Une décision peu surprenante dans sa teneur et dans le montant de la sanction.
Charlotte GALICHET
Anna BEJAOUI