La Commission nationale de l’informatique et des libertés (CNIL) a infligé une amende 180 000 euros à Slimpay concernant les données personnelles. La fintech française a laissé les données bancaires de 12 millions de personnes sans protection sur un serveur pendant plus de quatre ans.
Un mauvais respect des données par Slimpay
En 2015, Slimpay a effectué un projet de recherche interne, lors duquel elle a utilisé les données personnelles contenues dans ses bases de données. Lorsque le projet de recherche s’est terminé en juillet 2016, les données sont restées stockées sur un serveur, qui ne faisait pas l’objet d’une procédure de sécurité particulière et qui était librement accessible depuis Internet. Ce n’est qu’en février 2020 que la société s’est aperçue de la violation de données, qui a concerné environ 12 millions de personnes.
Un contrôle par la CNIL a eu lieu en 2020. La Commission a constaté plusieurs manquements concernant le traitement de données personnelles des clients. Il est notamment question de manquements en rapport avec le RGPD. Les personnes concernées par la violation de données se trouvant dans plusieurs pays de l’Union européenne, la formation restreinte a coopéré avec les autorités de contrôle de quatre pays (Allemagne, Espagne, Italie et Pays-Bas).
Il y a trois manquements constatés :
- Obligation d’encadrer, par un acte juridique formalisé, les traitements effectués par un sous-traitant (article 28 du RGPD)
- Obligation d’assurer la sécurité des données personnelles (article 32 du RGPD)
- Obligation d’information d’une violation de données personnelles aux personnes concernées (article 34 du RGPD)
