Défaut de protection des données : le prestataire de paiement Slimpay sanctionné


Slimpay est un établissement de paiement agréé qui facilite les paiements récurrents sur internet.  Il vient d’être sanctionné d’une amende de 180 000 € par la Cnil pour avoir laissé l’accès libre aux données de 12 millions de personnes.  La société a insuffisamment protégé les données personnelles d’utilisateurs et ne les a pas informés d’une violation de données. 

Les chausseurs sont les plus mal chaussés

Il y a une forme d’ironie particulière dans cette sanction car le directeur général de Slimpay, a publié en octobre 2021 une tribune soulignant la nécessité de faire appel à des prestataires de confiance en matière de protection contre la fraude tant pour les clients que pour les commerçants. « Pour le consommateur, il est nécessaire de vérifier la fiabilité et la sécurisation des plateformes et sites web utilisés » écrivait-il. « Pour les e-commerçants, la protection des données personnelles de leurs acheteurs et la sécurisation de leurs sites sont les axes prioritaires à prendre en considération » prévenait le DG.

Une attaque peut survenir à tout instant en exploitant les failles. « Il y a toujours un hacker prêt à tenter l’arnaque du siècle » poursuivait-il. Le dirigeant avertissait contre « les personnes mal intentionnées lorsqu’elles utilisent les fraudes dites ‘classiques’ telles que l’usurpation d’identité, le phishing, ou encore le vishing (phishing téléphonique) ». « Dans un contexte où de plus en plus de tactiques frauduleuses sont à déplorer, protéger ses données sensibles est devenu indispensable » conseillait-il.

Les données n’ont probablement pas été utilisées frauduleusement


Face à la Cnil, la société Slimpay s’est défendue en indiquant que les données n’ont probablement pas été utilisées frauduleusement. La Cnil retient tout de même un manquement à l’article 32 du RGPD car elle considère que l’absence de préjudice avéré n’a pas d’incidence sur l’existence du défaut de sécurité.

La Cnil a constaté également un manquement à l’obligation d’informer les personnes concernées d’une violation de données selon l’article 34 du RGPD. La Cnil considère que le risque associé à la violation devait être considéré comme élevé compte tenu de la nature des données et du volume en jeu puisque 12 millions de personnes sont touchées.  Ces données comportent des informations bancaires et la possibilité d’identifier les personnes. Cela a des conséquences possibles pour les personnes concernées avec des risques d’hameçonnage ou d’usurpation d’identité. Slimpay aurait donc dû informer toutes les personnes concernées, ce qu’il n’a pas fait.

Tout est parti d’un projet de recherche interne lancé courant 2015. Slimpay a utilisé les données personnelles contenues dans ses bases de données. Lorsque le projet de recherche s’est terminé en juillet 2016, les données sont restées stockées sur un serveur, qui était librement accessible depuis internet et qui ne faisait pas l’objet d’une procédure de sécurité particulière. Ce n’est qu’en février 2020 que Slimpay s’est aperçu de la violation de données, qui a concerné environ 12 millions de personnes.

Accès aux données possible durant 4 ans

Lors d’un contrôle sur site en 2020, la Cnil a relevé que l’accès au serveur ayant servi à la recherche en question ne faisait l’objet d’aucune mesure de sécurité. Il était possible d’y accéder à partir d’internet durant 4 ans entre novembre 2015 et février 2020. Les données d’état civil (civilité, nom, prénom), les adresses postales et email, les numéros de téléphone et des informations bancaires BIC et IBAN de plus de 12 millions de personnes ont ainsi été compromises.

Dernier point, Slimpay a manqué à l’obligation d’encadrer, par un acte juridique formalisé, les traitements effectués par ses sous-traitants selon l’article 28 du RGPD. En effet, certains des contrats conclus par Slimpay avec ses prestataires ne contiennent pas toutes les clauses permettant de s’assurer que ces sous-traitants s’engagent à traiter les données personnelles en conformité avec le RGPD. L’article 28-3 du RGPD liste plusieurs obligations devant figurer dans les contrats. Certains des contrats ne contiennent même aucune de ces mentions.

Les personnes concernées par la violation de données se trouvaient dans plusieurs pays de l’Union européenne. La Cnil a donc coopéré avec les autorités de contrôle de quatre autres pays, Allemagne, Espagne, Italie et Pays-Bas.


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *