Slimpay : 180 000 euros d’amende suite à une violation de données

Slimpay, la startup spécialisée dans les paiements récurrents et la gestion des abonnements a reçu une amende de 180 000 euros de la CNIL. L’entreprise a manqué à plusieurs obligations prévues dans le RGPD. En effet, elle a laissé sans protection les données personnelles de ses 12 millions d’utilisateurs, et a omis de les en informer.

Suite à une enquête interne, la CNIL a découvert que la fintech a laissé un serveur contenant des données sensibles accessible, sans sécuriser son accès. Cette sentence est tombée le 28 décembre dernier, mais la startup peut faire appel devant le Conseil d’État dans un délai de deux mois.

Créée en 2009, Slimpay offre à ses clients un logiciel de paiement en ligne. Parmi ses grands clients on retrouve Deezer, Unicef, EDF et Nespresso.

Un serveur non sécurisé en cause

La startup avait lancé en 2015 un projet de recherche interne sur un système de lutte contre la fraude. Pour ce faire, elle a fait des tests à partir des données personnelles de ses clients qui se trouvaient dans sa base de données. Elle a transféré ces données sur un autre serveur qui y sont restées stockées même après la fin du projet. Elles étaient ainsi accessibles librement sur internet, d’après la CNIL.

C’est l’un des clients de Slimpay qui a donné l’alerte en février 2020. Le serveur a donc été isolé et les données misent sous séquestre pour arrêter. L’incident a été ensuite notifié à la CNIL.

Les données personnelles de 12 millions de débiteurs ont subi cette violation, dont les données incluant des coordonnées postales, téléphoniques et électroniques, des informations sur l’état civil et des informations bancaires.

Des contrats de sous-traitance incomplets

Durant les contrôles, la CNIL a constaté plusieurs infractions au RGPD. Elle a noté que certains contrats entre Slimpay et ses partenaires ne mentionnent pas les clauses qui précisent que les sous-traitants s’engagent à traiter les données personnelles selon le RGPD.

En outre, la CNIL a indiqué que la startup n’avait pas respecté son obligation d’assurer la sécurité des données personnelles de ses clients. Mais le plus incriminant est surtout le fait que Slimpay n’a pas informé ses clients concernés par la violation de données, alors que les données exposées sont sensibles.

Lire plus d’articles sur DigiTechnologie :
– Découvrir les enjeux du RGPD pour les entreprises, cliquez-ici
– Les astuces pour sécuriser les données de ses clients, cliquez-ici
– Tout savoir des aides fiscales à destination des startup, cliquez-ici
– AIMMO développe un système d’étiquetage de données, cliquez-ici