Violation de données : 180 000€ de sanction CNIL pour SLIMPAY
Fin d’année difficile pour la société Slimpay qui se retrouve face à une sanction de la CNIL d’un montant de 180 000€. Parmi les grief, avoir insuffisamment protégé les données personnelles des utilisateurs, et ne pas les avoir informés d’une violation de données.
La société SLIMPAY est un établissement de paiement agréé qui propose notamment des solutions de paiements récurrents à ses clients. Courant 2015, elle a effectué un projet de recherche interne, lors duquel elle a utilisé les données personnelles contenues dans ses bases de données. Lorsque le projet de recherche s’est terminé en juillet 2016, les données sont restées stockées sur un serveur, qui ne faisait pas l’objet d’une procédure de sécurité particulière et qui était librement accessible depuis Internet.
Ce n’est qu’en février 2020 que la société SLIMPAY s’est aperçue de la violation de données, qui a concerné environ 12 millions de personnes. A la suite d’un contrôle de la CNIL en 2020, plusieurs manquements concernant le traitement de données personnelles des clients ont été constatés. Un an plus tard, la sanction est tombée. Un serveur ouvert et non protégé et 12 millions de clients concernés. Des personnes originaires de plusieurs pays de l’Union européenne. Bilan, les CNIL Allemande, Espagnole, Italienne et néerlandaise étaient sollicitées dans cette affaire RGPD.
La formation restreinte a relevé que l’accès au serveur en question ne faisait l’objet d’aucune mesure de sécurité : il était possible d’y accéder à partir d’Internet entre novembre 2015 et février 2020. Les données d’état civil (civilité, nom, prénom), les adresses postales et électroniques, les numéros de téléphone et des informations bancaires (BIC/IBAN) de plus de 12 millions de personnes ont ainsi été compromises.
Je comprends très bien que la CNIL fasse valoir ses droits vis-à-vis du RGPD et qu’ils punissent ceux qui « oublient » de sécuriser les data clients.
En même temps, le montant demandé ressemble à une attaque par ransomware… !
Ne connaissant pas la Loi française sur le sujet, je reste perplexe sur leurs approches et leurs choix décisionnels.
Il y a un fossé énorme entre ce qu’il faut sécuriser et les moyens financiers pour y parvenir.
Cela dit, merci Damien pour tout ce que tu rapporte! C’est une source d’informations très instructive!
Yvan.