Le 28 décembre 2021, la société SLIMPAY a écopé d’une amende CNIL de 180 000 euros pour de multiples atteintes à la législation sur les données à caractère personnel. Cet établissement de paiement agréé « propose notamment des solutions de paiements récurrents à ses clients », rappelle la Commission.

Seulement, dans le cadre d’un projet de recherche lancé en 2015, « elle a utilisé les données personnelles contenues dans ses bases de données ». Or, « lorsque le projet de recherche s’est terminé en juillet 2016, les données sont restées stockées sur un serveur, qui ne faisait pas l’objet d’une procédure de sécurité particulière et qui était librement accessible depuis Internet ».

En février 2020, SLIMPAY s’est aperçue de la violation de données, et son importance : 12 millions de personnes, environ.

La CNIL, après contrôle, a repéré plusieurs violations du RGPD : « manquement à l’obligation d’encadrer, par un acte juridique formalisé, les traitements effectués par un sous-traitant », « manquement à l’obligation d’assurer la sécurité des données personnelles », manquement à l’obligation d’informer les personnes concernées…

L’accès au serveur « ne faisait l’objet d’aucune mesure de sécurité : il était possible d’y accéder à partir d’Internet entre novembre 2015 et février 2020 ». Y figuraient, « les données d’état civil (civilité, nom, prénom), les adresses postales et électroniques, les numéros de téléphone et des informations bancaires (BIC/IBAN) de plus de 12 millions de personnes »

La société, qui propose un guide pour prévenir la fraude aux moyens de paiement en ligne, a indiqué que ces informations n’avaient probablement pas été utilisées. La CNIL lui a rappelé que « l’absence de préjudice avéré pour les personnes concernées n’a pas d’incidence sur l’existence du défaut de sécurité ».