Skip to main content
Actualités CNIL & DATA

Violation de données : Sanction de 180 000 € de la CNIL

Par 3 janvier 2022janvier 31st, 2025Aucun commentaire

En 2015, à l’occasion d’un projet de recherche réalisé par SLIMPAY, la société a réutilisé des données à caractère personnel contenues dans ses bases de données à des fins de test. Cependant lorsque le projet de recherche fut terminé, ces données sont restées stockées sur ce même serveur qui ne faisait l’objet d’aucune procédure de sécurité spécifique.  

La CNIL a alors effectué un contrôle en 2020 et a constaté plusieurs manquements aux règles relatives à la protection des données. 

  • Manquement à l’obligation d’assurer la sécurité les données conformément à l’article 32 du RGPD. En effet, à la fin du projet de recherche, les données sont restées hébergées sur le serveur sans aucune restriction d’accès ou mesure de sécurité. Toute personne avait la possibilité d’accéder librement à ces données depuis internet au moyen d’une URL simplement composée d’une adresse IP et d’un port de communication. Ainsi, des données d’identification, des adresses postales, des numéros de téléphone et des informations bancaires (BIC/IBAN) de plus de 12 millions de personnes ont été compromises. Ces faits constituent donc une violation de données. 

  • Manquement à l’obligation de communication aux personnes concernées d’une violation de données. En l’espèce, la société SLIMPAY a considéré que le risque lié à cette violation de données n’était pas élevé et qu’elle ne devait donc pas informer les personnes concernées. Cependant, au regard de la nature, du volume des données et de la facilité avec laquelle il était possible d’identifier les personnes touchées par la violation, ces indicateurs permettaient de caractériser un risque élevé et une communication aurait dû être réalisé. 

  • Manquement à l’obligation d’encadrer par un acte juridique formalisé les traitements effectués par un sous-traitant ultérieur. La société a fait appel à des prestataires mais les contrats conclus avec ces derniers ne sont pas conformes aux exigences de l’article 28-3 du RGPD. 

En conséquence, la formation restreinte a décidé de sanctionner la société SLIMPAY d’une amende administrative de 180 000 euros. 

Pour en savoir plus : 

https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000044609709


Auteur Nicolas Samarcq

Nicolas Samarcq : fondateur du cabinet Lexagone et de la solution DPM (Data Privacy Manager). Précurseur dans le domaine réglementaire de la protection des données, Lexagone est l’un des premiers cabinets de conseil à proposer un logiciel permettant de tenir le registre des activités de traitement pour piloter sa mise en conformité. La force de Lexagone repose sur ses services de DPO externe et ses accompagnements spécifiques pour des projets innovants ou complexes (IA en santé, AIPD pour les dispositifs e-santé, ….). Nicolas est également administrateur de l’AFCDP Association Française des Correspondants à la protection des Données à caractère Personnel.

Plus d'articles de Nicolas Samarcq

Parlons de votre conformité


Informations de contact

Email : contact@lexagone.fr
Téléphone : +33 (0)972 169 310

Lexagone est présent à :

  • Biarritz
  • Bordeaux
  • Grenoble
  • Lille
  • Lyon
  • Marseille
  • Montpellier
  • Paris
  • Nantes
  • Toulon
lexagone logo

Notre cabinet de conseil RGPD propose des prestations de DPO externe orchestrées par des équipes de juristes spécialisés pour une gouvernance RGPD maîtrisée.

Membre de :

afcdp min
logo apssis h100 min
club decision dsi min

Référencé par :

logo caih 400 copie 0 0 1 min
53a58cfd 2d9c 4a08 84ac f80456cd147b
logo csirt blue
logo footer@2x