Lexagone - Services RGPD et DPO externeLexagone - Services RGPD et DPO externeLexagone - Services RGPD et DPO externeLexagone - Services RGPD et DPO externe
  • Services
    • Audits de conformité RGPD
    • DPO / DPD externe
    • DPO / DPD externe et mutualisé
    • Accompagnement RGPD
  • Cybersécurité
    • PIA / AIPD
    • Audits de sécurité
    • Prévention social engineering
  • Expertise
    • Santé
    • Médico-social
    • Mutuelle
  • Logiciel
  • Formations
  • Lexagone
    • Qui sommes-nous ?
    • L’équipe Lexagone
    • Recrutement
    • Références
    • Partenaires
  • Blog
  • Contact
✕
Mise en demeure d’une commune pour non-conformité de son dispositif de caméra-piéton et de vidéoprotection
6 janvier 2022
Réutilisation des données par le sous-traitant : la CNIL pose ses conditions
20 janvier 2022
Publié par Andrew Verbrugghe le 13 janvier 2022
Catégories
  • News
  • Protection des données
  • Sécurité
Tags
  • Protection des données personnelles
  • RGPD
  • Sécurité

Sanction de 180 000 euros à l’encontre de la société SLIMPAY pour violation de données

En 2015, à l’occasion d’un projet de recherche réalisé par SLIMPAY, la société a réutilisé des données à caractère personnel contenues dans ses bases de données à des fins de test. Cependant lorsque le projet de recherche fut terminé, ces données sont restées stockées sur ce même serveur qui ne faisait l’objet d’aucune procédure de sécurité spécifique.  

La CNIL a alors effectué un contrôle en 2020 et a constaté plusieurs manquements aux règles relatives à la protection des données. 

  • Manquement à l’obligation d’assurer la sécurité les données conformément à l’article 32 du RGPD. En effet, à la fin du projet de recherche, les données sont restées hébergées sur le serveur sans aucune restriction d’accès ou mesure de sécurité. Toute personne avait la possibilité d’accéder librement à ces données depuis internet au moyen d’une URL simplement composée d’une adresse IP et d’un port de communication. Ainsi, des données d’identification, des adresses postales, des numéros de téléphone et des informations bancaires (BIC/IBAN) de plus de 12 millions de personnes ont été compromises. Ces faits constituent donc une violation de données. 

  • Manquement à l’obligation de communication aux personnes concernées d’une violation de données. En l’espèce, la société SLIMPAY a considéré que le risque lié à cette violation de données n’était pas élevé et qu’elle ne devait donc pas informer les personnes concernées. Cependant, au regard de la nature, du volume des données et de la facilité avec laquelle il était possible d’identifier les personnes touchées par la violation, ces indicateurs permettaient de caractériser un risque élevé et une communication aurait dû être réalisé. 

  • Manquement à l’obligation d’encadrer par un acte juridique formalisé les traitements effectués par un sous-traitant ultérieur. La société a fait appel à des prestataires mais les contrats conclus avec ces derniers ne sont pas conformes aux exigences de l’article 28-3 du RGPD. 

En conséquence, la formation restreinte a décidé de sanctionner la société SLIMPAY d’une amende administrative de 180 000 euros. 

Pour en savoir plus : 

https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000044609709

https://www.cnil.fr/fr/violation-de-donnees-sanction-de-180-000-euros-lencontre-de-la-societe-slimpay#:~:text=Le%2028%20d%C3%A9cembre%202021%2C%20la,d’une%20violation%20de%20donn%C3%A9es.


Par Andrew Verbrugghe | News, Protection des données, Sécurité|Commentaires fermés

Articles similaires

12 août 2022

Le CEPD et le Contrôleur européen de la protection des données mettent en avant le rôle des CNIL européennes quant à la régulation de l’Espace européen des données de santé et sur l’identification des cas transfrontaliers stratégiques


Lire l'article
12 août 2022

Transparence de la vie publique vs Respect de la vie privée : la CJUE arbitre


Lire l'article
2 août 2022

Cloud Act : quelles conséquences pour la vie privée des citoyens américains et britanniques ?


Lire l'article
Lexagone - Services RGPD et DPO externe

Lexagone est membre des organismes suivants

Digital 113

Services RGPD

Audits de conformité RGPD

DPO / DPD externe

DPO / DPD externe & mutualisé

Accompagnement RGPD

Formations DPO

DPM, notre logiciel de conformité RGPD

Cybersécurité

PIA-AIPD

Audits de sécurité

Prévention social engineering

Lexagone, c'est

Une histoire

Une équipe

Des références

Des partenaires

Un blog

Légal

Mentions légales

Politique de confidentialité

Politique de cookies

Conditions d'utilisation

© Copyright 2005 – 2022 Lexagone | Tous droits réservés