En 2015, à l’occasion d’un projet de recherche réalisé par SLIMPAY, la société a réutilisé des données à caractère personnel contenues dans ses bases de données à des fins de test. Cependant lorsque le projet de recherche fut terminé, ces données sont restées stockées sur ce même serveur qui ne faisait l’objet d’aucune procédure de sécurité spécifique.  

La CNIL a alors effectué un contrôle en 2020 et a constaté plusieurs manquements aux règles relatives à la protection des données. 

• Manquement à l’obligation d’assurer la sécurité les données conformément à l’article 32 du RGPD. En effet, à la fin du projet de recherche, les données sont restées hébergées sur le serveur sans aucune restriction d’accès ou mesure de sécurité. Toute personne avait la possibilité d’accéder librement à ces données depuis internet au moyen d’une URL simplement composée d’une adresse IP et d’un port de communication. Ainsi, des données d’identification, des adresses postales, des numéros de téléphone et des informations bancaires (BIC/IBAN) de plus de 12 millions de personnes ont été compromises. Ces faits constituent donc une violation de données. 

• Manquement à l’obligation de communication aux personnes concernées d’une violation de données. En l’espèce, la société SLIMPAY a considéré que le risque lié à cette violation de données n’était pas élevé et qu’elle ne devait donc pas informer les personnes concernées. Cependant, au regard de la nature, du volume des données et de la facilité avec laquelle il était possible d’identifier les personnes touchées par la violation, ces indicateurs permettaient de caractériser un risque élevé et une communication aurait dû être réalisé. 

• Manquement à l’obligation d’encadrer par un acte juridique formalisé les traitements effectués par un sous-traitant ultérieur. La société a fait appel à des prestataires mais les contrats conclus avec ces derniers ne sont pas conformes aux exigences de l’article 28-3 du RGPD. 

En conséquence, la formation restreinte a décidé de sanctionner la société SLIMPAY d’une amende administrative de 180 000 euros. 

Pour en savoir plus : 

https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000044609709

https://www.cnil.fr/fr/violation-de-donnees-sanction-de-180-000-euros-lencontre-de-la-societe-slimpay#:~:text=Le%2028%20d%C3%A9cembre%202021%2C%20la,d’une%20violation%20de%20donn%C3%A9es.

Par Andrew Verbrugghe | News, Protection des données, Sécurité|Commentaires fermés