La CNIL sanctionne Slimpay pour l'exposition des données bancaires de 12 millions de clients pendant 4 ans

Le dysfonctionnement s'est produit en 2015, à un moment de grande effervescence pour cette étoile montante de la Fintech française qui, en pleine hypercroissance, enchaînait succès et levées de fond. À l'issue d'un projet de recherche, un serveur contenant des données sensibles est laissé sans surveillance, librement accessible depuis Internet. Volume de personnes impliquées, sensibilité des données, clauses des contrats de prestataires... la CNIL a relevé plusieurs manquements au RGPD.
Jérôme Cristiani
(Crédits : Charles Platiau)

Si Slimpay elle-même ne s'en était pas aperçu, qui sait combien de temps le problème aurait duré ? Toujours est-il que la CNIL (la Commission nationale de l'informatique et de libertés) ayant été prévenue (comme prévu par la loi), celle-ci a audité et présenté l'addition en condamnant mardi la startup française spécialisée dans les paiements récurrents à payer une amende de 180.000 euros pour avoir laissé sans protection pendant plus de 4 ans les données bancaires de 12 millions de personnes. Le gendarme français des données personnelles a publié ce jeudi la sanction sur son site en ces termes :

"Le 28 décembre 2021, la formation restreinte de la CNIL a sanctionné la société SLIMPAY d'une amende de 180.000 euros notamment pour avoir insuffisamment protégé les données personnelles des utilisateurs et ne pas les avoir informés d'une violation de données."

Données exposées pendant 4 ans

Dans le détail, on apprend que tout a commencé par un "projet de recherche interne" mené courant 2015 par Slimpay. À l'issue de ce travail, en juillet 2016, les données sont restées stockées sur un serveur qui ne bénéficiait d'aucune procédure de sécurité particulière et auquel on pouvait accéder librement depuis Internet.

"Ce n'est qu'en février 2020 que la société Slimpay s'est aperçue de la violation de données", détaille la CNIL dans son exposé des motifs.

Données "sensibles" ? Pour le moins, car il s'agit de données personnelles comportant l'état civil (civilité, nom, prénom), les adresses postales et électroniques, les numéros de téléphone et des informations bancaires (BIC/IBAN) de clients de l'entreprise.

Lors de son contrôle en 2020, la CNIL établit que les clients concernés sont au nombre de... 12 millions, répartis dans plusieurs pays de l'Union européenne.

Pour rappel, 2015, c'était, pour cette étoile montante de la fintech française, une année d'effervescence au cours de laquelle elle achevait un cycle de 4.068% (sic) de croissance sur quatre ans, levait 15 millions d'euros pour son développement, mais encore, d'un côté recevait le prix Technology Fast50 de Deloitte, et de l'autre entrait dans le classement des 100 leaders mondiaux de la Fintech établi par le cabinet KPMG, lequel commentait l'exploit ainsi :

"Encore peu présente parmi les leaders de la Fintech, la France se distingue néanmoins en 2015 : le classement accueille cette année dans la catégorie des Fintech les plus innovantes, SlimPay, qui propose un moyen rapide et sécurisé pour payer ses abonnements et ses achats fréquents en ligne."

Manquement à la sécurité des données personnelles (art. 32 du RGPD)

Six ans plus tard, parmi les défauts relevés lors de son contrôle, la CNIL retient le manquement à l'obligation d'assurer la sécurité des données personnelles car "l'accès au serveur en question ne faisait l'objet d'aucune mesure de sécurité", ce qui a laissé l'accès libre depuis Internet les données personnelles de 12 millions de personnes "entre novembre 2015 et février 2020".

Et même si "la société s'est défendue en indiquant que les données n'ont probablement pas été utilisées frauduleusement", la CNIL a retenu un manquement à l'article 32 du RGPD, qu'elle justifie en considérant que "l'absence de préjudice avéré pour les personnes concernées n'a pas d'incidence sur l'existence du défaut de sécurité".

Manquement à l'obligation d'information (art. 34 du RGPD)

La CNIL a également estimé que, compte tenu notamment de la nature des informations (bancaires notamment), du "volume" de personnes concernées (12 millions), mais aussi compte tenu "de la possibilité d'identifier les personnes touchées par la violation à partir des données accessibles et des conséquences possibles pour les personnes concernées (risques d'hameçonnage ou d'usurpation d'identité), le risque associé à la violation devait être considéré comme élevé". Selon le gendarme des données personnelles, la société de paiement se devait impérativement d'informer toutes les personnes concernées, "ce qu'elle n'a pas fait".

Manquement à l'obligation d'encadrer les traitements effectués par un sous-traitant (art. 28 du RGPD)

Troisième grand manquement relevé par la CNIL, la négligence dans la rédaction de certains des contrats conclus par la société Slimpay avec ses sous-traitants. En effet, certains des contrats qu'a pu étudier la CNIL "ne contiennent pas toutes les clauses permettant de s'assurer que ces fournisseurs s'engagent à traiter les données personnelles en conformité avec le RGPD". Pire, précise la CNIL, certains des contrats ne contiennent aucune de ces mentions. Or l'article 28-3 du RGPD est très explicite sur cette question des obligations devant figurer dans les contrats.

|Lire le Règlement européen sur la protection des données : un guide pour accompagner les sous-traitants (sur le site de CNIL)

Fondée en 2010, Slimpay développe une solution qui permet aux commerçants d'offrir à leur clientèle la possibilité de payer en plusieurs fois, par carte ou prélèvements bancaires.

|Lire aussi : SlimPay surfe sur l'économie de l'abonnement

Jérôme Cristiani

Sujets les + lus

|

Sujets les + commentés

Commentaires 4
à écrit le 31/12/2021 à 11:23
Signaler
Ahhh le monde merveilleux du transhumanisme numérique de surveillance des populations !!!!

à écrit le 30/12/2021 à 23:04
Signaler
La CNIL a part mettre des amendes aux Français ,elle fait quoi avec le PatriotAct ,loi américaine qui siphone toutes les données personnelles des Français ? Ben rien ,elle a même aidé pour nos données médicale (voir l'émission d'elise Lucet) .CNIL ...

le 31/12/2021 à 8:28
Signaler
2013 : La Commission nationale de l'informatique et des libertés (Cnil) a autorisé l'église mormone à numériser l'état civil français et, sous conditions, à le rendre accessible sur Internet, selon une délibération publiée le 25 avril. La Commissi...

à écrit le 30/12/2021 à 20:36
Signaler
Et concernant le "pass vaccinal" qui est la plus grosse fuite de données personnelles organisée par l'Etat, elle en pense quoi la CNIL?

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.