L’opérateur de service de paiement récurrent Slimpay a été condamné à une amende de 180 000 euros, par la Cnil, pour avoir enfreint le règlement général sur la protection des données personnelles. Les charges à son encontre portent sur des travaux effectués par un sous-traitant et une violation de données personnelles. La Cnil explique qu’il a compromis les données d’état civil, les adresses postales et électroniques, les numéros de téléphone et les informations bancaires de près de 12 millions de personnes.
Slimpay : une sanction sans équivoque
La CNIL, ou Commission nationale de l’informatique et des libertés n’a de cesse de traquer les entreprises enfreignant la réglementation sur la protection des données personnelles. Elle a ainsi divulgué certains manquements de la Slimpay. Cette société est un opérateur de service de paiement récurrent, actif depuis 2010. Bon nombre d’observateurs la considèrent comme le fleuron de la fintech française.
Après avoir fait l’objet d’une violation de données en février 2020 ayant affecté 12 millions de clients, Slimpay est passée sous le contrôle de la CNIL dans le courant de l’année 2021. C’est ainsi que la commission a relevé des manquements.
La majorité des victimes sont originaires de pays de l’Union Européenne dont l’Allemagne, l’Espagne, l’Italie et les Pays-Bas. En réponse, la Cnil a initié une enquête en partenariat avec les autorités de contrôle de ces pays. De cette coopération, la sanction de Slimpay datée du 28 décembre 2021 indique que la firme doit payer une amende de 180 000 euros. Ce montant est justifié en partie par le nombre de clients importants victimes, dont Deezer, AXA, Nespresso, EDF, Fitness Park, Feu Vert, UGC, Solocal, entre autres.
Cette pénalité est motivée par plusieurs raisons, dont le manque de protection des informations personnelles de ses utilisateurs et le fait de ne pas avoir notifié la Cnil de la violation de données.
Trois défaillances majeures ont été relevées. La première est liée à l’obligation d’encadrer les traitements réalisés par un sous-traitant à l’aide d’un acte juridique formalisé. Certains contrats de prestations ne mentionnaient pas toutes les clauses garantissant que les prestataires s’engagent à traiter les données personnelles en conformité avec le RGPD.
Des violations de données en forte hausse
De l’enquête de Cnil, il est également ressorti que l’accès au serveur de Slimpay n’était pas sécurisé. On pouvait y accéder librement depuis Internet entre novembre 2015 et février 2020, ce qui a compromis les données sensibles de plus de 12 millions de personnes. Cela comprenait des données d’état, des adresses postales et électroniques, des numéros de téléphone et des informations bancaires (BIC/IBAN). Même si ces données n’ont pas fait l’objet de fraudes, la Cnil souligne le manquement à l’article 32 du RGPD.
De plus, la commission a constaté un défaut d’information des victimes. Elle explique que le risque lié à la violation est élevé, en raison de la nature des données, du nombre de personnes exposées, de la possibilité d’énumérer les personnes concernées et des conséquences possibles pour elles (risques ransomware ou d’usurpation d’identité).