Sanction de 180 000 euros à l’encontre de la société SLIMPAY pour violation de donnéesSanction de 180 000 euros à l’encontre de la société SLIMPAY pour violation de donnéesSanction de 180 000 euros à l’encontre de la société SLIMPAY pour violation de donnéesSanction de 180 000 euros à l’encontre de la société SLIMPAY pour violation de données
  • Services
    • Audits de conformité RGPD
    • DPO / DPD externe
    • DPO / DPD externe et mutualisé
    • Accompagnement RGPD
    • Membres AD-PA+
  • Cybersécurité
    • PIA / AIPD
    • Audits de sécurité
    • Gestion de crise
  • Expertise
    • Santé
    • Médico-social
    • Mutuelle
  • Maturité RGPD
  • Logiciel DPM
  • Formations
  • Lexagone
    • Actus RGPD
    • Qui sommes-nous ?
    • L’équipe Lexagone
    • Recrutement
    • Références
    • Partenaires
  • Contact
✕
Mise en demeure d’une commune pour non-conformité de son dispositif de caméra-piéton et de vidéoprotection
6 janvier 2022
Réutilisation des données par le sous-traitant : la CNIL pose ses conditions
20 janvier 2022
Publié par Andrew Verbrugghe le 13 janvier 2022
Catégories
  • News
  • Protection des données
  • Sécurité
Tags
  • Protection des données personnelles
  • RGPD
  • Sécurité

Sanction de 180 000 euros à l’encontre de la société SLIMPAY pour violation de données

En 2015, à l’occasion d’un projet de recherche réalisé par SLIMPAY, la société a réutilisé des données à caractère personnel contenues dans ses bases de données à des fins de test. Cependant lorsque le projet de recherche fut terminé, ces données sont restées stockées sur ce même serveur qui ne faisait l’objet d’aucune procédure de sécurité spécifique.  

La CNIL a alors effectué un contrôle en 2020 et a constaté plusieurs manquements aux règles relatives à la protection des données. 

  • Manquement à l’obligation d’assurer la sécurité les données conformément à l’article 32 du RGPD. En effet, à la fin du projet de recherche, les données sont restées hébergées sur le serveur sans aucune restriction d’accès ou mesure de sécurité. Toute personne avait la possibilité d’accéder librement à ces données depuis internet au moyen d’une URL simplement composée d’une adresse IP et d’un port de communication. Ainsi, des données d’identification, des adresses postales, des numéros de téléphone et des informations bancaires (BIC/IBAN) de plus de 12 millions de personnes ont été compromises. Ces faits constituent donc une violation de données. 

  • Manquement à l’obligation de communication aux personnes concernées d’une violation de données. En l’espèce, la société SLIMPAY a considéré que le risque lié à cette violation de données n’était pas élevé et qu’elle ne devait donc pas informer les personnes concernées. Cependant, au regard de la nature, du volume des données et de la facilité avec laquelle il était possible d’identifier les personnes touchées par la violation, ces indicateurs permettaient de caractériser un risque élevé et une communication aurait dû être réalisé. 

  • Manquement à l’obligation d’encadrer par un acte juridique formalisé les traitements effectués par un sous-traitant ultérieur. La société a fait appel à des prestataires mais les contrats conclus avec ces derniers ne sont pas conformes aux exigences de l’article 28-3 du RGPD. 

En conséquence, la formation restreinte a décidé de sanctionner la société SLIMPAY d’une amende administrative de 180 000 euros. 

Pour en savoir plus : 

https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000044609709

https://www.cnil.fr/fr/violation-de-donnees-sanction-de-180-000-euros-lencontre-de-la-societe-slimpay#:~:text=Le%2028%20d%C3%A9cembre%202021%2C%20la,d’une%20violation%20de%20donn%C3%A9es.


Par Andrew Verbrugghe | News, Protection des données, Sécurité|Commentaires fermés

Articles similaires

23 mars 2023

Le ticket dématérialisé : quel impact sur mes données personnelles ?


Lire l'article
16 mars 2023

Données de santé : un rappel à l’ordre pour deux organismes de recherche médicale par la CNIL


Lire l'article
8 mars 2023

Géolocalisation des élèves avocats : une nouveauté qui fait grincer des dents


Lire l'article
8 mars 2023

Transfert de données vers les Etats-Unis : un projet pas adapté aux standards du RGPD ?


Lire l'article
Lexagone - Services RGPD et DPO externe

Lexagone est membre des organismes suivants

APSSIS
Reseau-Entreprendre-Nord

Services RGPD

Audits de conformité RGPD

DPO / DPD externe

DPO / DPD externe & mutualisé

Accompagnement RGPD

Formations DPO

DPM, notre logiciel de conformité RGPD

Cybersécurité

PIA-AIPD

Audits de sécurité

Prévention social engineering

Lexagone, c'est

Une histoire

Une équipe

Des références

Des partenaires

Un blog

Légal

Mentions légales

Politique de confidentialité

Politique de cookies

Conditions d'utilisation

© Copyright 2005 – 2023 Lexagone | Tous droits réservés