Le Quotidien du 3 janvier 2022 : Données personnelles

[Brèves] Violation de données : sanction de 180 000 euros à l’encontre de la société Slimpay

Réf. : CNIL, 28 décembre 2021, délibération n° SAN-2021-020 (N° Lexbase : X1397CN3)

Lecture: 3 min

N9875BYE

Citation copiée !

Citer l'article

Créer un lien vers ce contenu

Référence copiée !
[Brèves] Violation de données : sanction de 180 000 euros à l’encontre de la société Slimpay. Lire en ligne : https://www.lexbase.fr/article-juridique/76336147-breves-violation-de-donnees-sanction-de-180-000-euros-a-lencontre-de-la-societe-slimpay
Copier

par Marie-Lou Hardouin-Ayrinhac

le 05 Janvier 2022

► Le 28 décembre 2021, la formation restreinte de la CNIL a sanctionné la société Slimpay d’une amende de 180 000 euros pour avoir manqué aux obligations d’encadrer, par un acte juridique formalisé, les traitements effectués par un sous-traitant, d’assurer la sécurité des données personnelles, et d’information d’une violation de données personnelles aux personnes concernées.

Contexte. La société Slimpay est un établissement de paiement agréé qui propose notamment des solutions de paiements récurrents à ses clients.

Courant 2015, elle a effectué un projet de recherche interne, lors duquel elle a utilisé les données personnelles contenues dans ses bases de données. Lorsque le projet de recherche s’est terminé en juillet 2016, les données sont restées stockées sur un serveur, qui ne faisait pas l’objet d’une procédure de sécurité particulière et qui était librement accessible depuis internet. Ce n’est qu’en février 2020 que la société Slimpay s’est aperçue de la violation de données, qui a concerné environ 12 millions de personnes.

La CNIL a effectué un contrôle auprès de la société Slimpay en 2020.

Les personnes concernées par la violation de données se trouvant dans plusieurs pays de l’Union européenne, la CNIL a coopéré avec les autorités de contrôle d'Allemagne, d'Espagne, d'Italie et du Pays-Bas.

Un manquement à l’obligation d’encadrer, par un acte juridique formalisé, les traitements effectués par un sous-traitant (« RGPD », art. 28). Certains des contrats conclus par la société Slimpay avec ses prestataires ne contiennent pas toutes les clauses permettant de s’assurer que ces sous-traitants s’engagent à traiter les données personnelles en conformité avec le « RGPD » (l’article 28-3 du « RGPD » liste plusieurs obligations devant figurer dans les contrats). Certains des contrats ne contiennent même aucune de ces mentions.

Un manquement à l’obligation d’assurer la sécurité des données personnelles (« RGPD », art. 32). La formation restreinte a relevé que l’accès au serveur en question ne faisait l’objet d’aucune mesure de sécurité : il était possible d’y accéder à partir d’internet entre novembre 2015 et février 2020. Les données d’état civil (civilité, nom, prénom), les adresses postales et électroniques, les numéros de téléphone et des informations bancaires (BIC/IBAN) de plus de 12 millions de personnes ont ainsi été compromis.

Si la société s’est défendue en indiquant que les données n’ont probablement pas été utilisées frauduleusement, la CNIL a tout de même retenu un manquement à l’article 32 du « RGPD », considérant que l’absence de préjudice avéré pour les personnes concernées n’a pas d’incidence sur l’existence du défaut de sécurité.

Un manquement à l’obligation d’information d’une violation de données personnelles aux personnes concernées (« RGPD », art. 34). La CNIL a considéré que, compte tenu de la nature des données personnelles (comportant notamment des informations bancaires), du volume de personnes concernées (plus de 12 millions), de la possibilité d’identifier les personnes touchées par la violation à partir des données accessibles et des conséquences possibles pour les personnes concernées (risques d’hameçonnage ou d’usurpation d’identité), le risque associé à la violation devait être considéré comme élevé. La société aurait donc dû informer toutes les personnes concernées, ce qu’elle n’a pas fait.

Sanction. À l’issue de ce processus, la formation restreinte a prononcé une amende de 180 000 euros et a décidé de rendre publique sa décision.

© Reproduction interdite, sauf autorisation écrite préalable

newsid:479875

Vos notes

add
  • Aucune note pour le moment
Ajouter une nouvelle note


Utilisation des cookies sur Lexbase

Notre site utilise des cookies à des fins statistiques, communicatives et commerciales. Vous pouvez paramétrer chaque cookie de façon individuelle, accepter l'ensemble des cookies ou n'accepter que les cookies fonctionnels.

En savoir plus

Parcours utilisateur

Lexbase, via la solution Salesforce, utilisée uniquement pour des besoins internes, peut être amené à suivre une partie du parcours utilisateur afin d’améliorer l’expérience utilisateur et l’éventuelle relation commerciale. Il s’agit d’information uniquement dédiée à l’usage de Lexbase et elles ne sont communiquées à aucun tiers, autre que Salesforce qui s’est engagée à ne pas utiliser lesdites données.

Réseaux sociaux

Nous intégrons à Lexbase.fr du contenu créé par Lexbase et diffusé via la plateforme de streaming Youtube. Ces intégrations impliquent des cookies de navigation lorsque l’utilisateur souhaite accéder à la vidéo. En les acceptant, les vidéos éditoriales de Lexbase vous seront accessibles.

Données analytiques

Nous attachons la plus grande importance au confort d'utilisation de notre site. Des informations essentielles fournies par Google Tag Manager comme le temps de lecture d'une revue, la facilité d'accès aux textes de loi ou encore la robustesse de nos readers nous permettent d'améliorer quotidiennement votre expérience utilisateur. Ces données sont exclusivement à usage interne.