La commission nationale de l'informatique et des libertés poursuit sa traque des entreprises manquant à leurs devoirs en matière de protection des données personnelles. La société Slimpay, opérateur de service de paiement récurrent créé en 2010 et considéré par bon nombre d'observateurs comme un fleuron de la fintech française, l'a appris à ses dépens. Suite à une violation de données découverte par cette société en février 2020 affectant 12 millions de clients, la commission a procédé à un contrôle courant de l'année dernière et constaté plusieurs manquements. Les personnes concernées par la violation de données se trouvant dans plusieurs pays de l'union européenne (Allemagne, Espagne, Italie et Pays-Bas), la Cnil a mené ses investigations en coopération avec les autorités de contrôle de ces derniers. A l'issue de ce processus, la Cnil a prononcé ce 28 décembre 2021 une amende de 180 000 euros à l'encontre de Slimpay. La société compte de nombreux clients dont Deezer, EDF, AXA, Nespresso, Fitness Park, UGC, Feu Vert, Solocal...
Cette sanction a été motivée pour plusieurs raisons liées à un manque de protection d'informations personnelles des utilisateurs et aussi parce que Slimpay n'a pas informé la Cnil de sa violation de données. Dans le détail, trois défaillances ont été constatées. La première liée à l'obligation d'encadrer par un acte juridique formalisé les traitements effectués par un sous-traitant : « Certains des contrats conclus par la société Slimpay avec ses prestataires ne contiennent pas toutes les clauses permettant de s’assurer que ces sous-traitants s’engagent à traiter les données personnelles en conformité avec le RGPD (l’article 28-3 du RGPD liste plusieurs obligations devant figurer dans les contrats). Certains des contrats ne contiennent même aucune de ces mentions », explique la Cnil.
Des notifications pour violation de données en forte hausse
Le manquement à l'obligation d'assurer la sécurité des donnée personnelles de Slimpay a aussi été épinglé : « l’accès au serveur en question ne faisait l’objet d’aucune mesure de sécurité : il était possible d’y accéder à partir d’Internet entre novembre 2015 et février 2020. Les données d’état civil (civilité, nom, prénom), les adresses postales et électroniques, les numéros de téléphone et des informations bancaires (BIC/IBAN) de plus de 12 millions de personnes ont ainsi été compromises », indique la commission. « Si la société s’est défendue en indiquant que les données n’ont probablement pas été utilisées frauduleusement, la Cnil a tout de même retenu un manquement à l’article 32 du RGPD, considérant que l’absence de préjudice avéré pour les personnes concernées n’a pas d’incidence sur l’existence du défaut de sécurité ».
Enfin, l'institution a relevé un défaut d'information aux personnes concernées par cette violation de données : « La Cnil a considéré que, compte tenu de la nature des données personnelles (comportant notamment des informations bancaires), du volume de personnes concernées (plus de 12 millions), de la possibilité d’identifier les personnes touchées par la violation à partir des données accessibles et des conséquences possibles pour les personnes concernées (risques d’hameçonnage ou d’usurpation d’identité), le risque associé à la violation devait être considéré comme élevé. La société aurait donc dû informer toutes les personnes concernées, ce qu’elle n’a pas fait », fait savoir la Cnil.
En 2020, la Cnil a reçu 2 825 notifications de violations de données, en hausse de 24% par rapport à 2019, et engagé par la suite 50 procédures de contrôles. Pour l'ensemble de ses activités, l'organisme a réalisé sur l'année écoulée 6 500 actes d’investigation et engagé 247 contrôles.