180 000 euros d’amende, c’est la sanction qu’à prononcé la formation restreinte de la CNIL à l’encontre de la société SLIMPAY le 28 décembre 2021.

À l’origine de cette sanction : l’insuffisance dans la protection des données des utilisateurs et la non-information de ces derniers d’une violation de données.

L’activité de la société Simplay : La société Simplay, créée en 2010, propose des solutions de paiements récurrents à ses clients.

Les faits reprochés :

À fin de réaliser son activité, elle a effectué un projet de recherche interne durant l’année 2015 nécessitant l’utilisation de données personnelles contenues dans ses bases de données. Par suite, des données ont été stockées sur un serveur. Il convient de rappeler que ce type de stockage nécessite une procédure de sécurité particulière. De plus, ces donnés étaient accessibles sur l’Internet.

Le contrôle de la CNIL :

Suite à une violation de données découverte par la société Slimpay en février 2020 et qui a affecté plus de 12 millions de clients, la commission a procédé à un contrôle et a constaté plusieurs manquements.

Les manquements constatés:

  • Manquement à l’obligation d’encadrer, par un acte juridique formalisé, les traitements effectués par un sous-traitant (article 28 du RGPD) : L’article 28-1 du RGPD dispose que « Lorsqu’un traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement ». Également, l’article 28-3 dudit règlement prévoit que cette garantie de conformité au RGPD doit être inclue dans une clause du contrat entre le responsable de traitement et le sous-traitant. En l’espèce, la CNIL constate que certains des contrats conclus entre la société SLIMPAY et ses partenaires ne contiennent pas toutes les clauses permettant de garantir la conformité des sous-traitants avec le règlement. Pire encore, elle constate que certains contrats n’en contiennent aucunes.

 

  • Manquement à l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD) : La CNIL a constaté que les données qui ont été stockées sur un serveur étaient accessibles sur Internet entre novembre 2015 et février 2020. Ces données concernait l’état civil des personnes, adresses postales et électroniques, n° téléphone et informations bancaires (BIC/IBAN). L’article 32 du RGPD prévoit que « le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » en énumérant des actions à effectuer selon les besoins que requiert le traitement. La société Slimpay se défendant en précisant qu’aucune infraction n’avait été commise et par conséquent qu’aucun client ne pouvait faire valoir un préjudice. La CNIL rappelle alors qu’un préjudice n’est pas requit pour caractériser le manquement à l’obligation issue de l’article 32 du RGPD.

 

  • Manquement à l’obligation d’information d’une violation de données personnelles aux personnes concernées (article 34 du RGPD) : La CNIL a pu considérer que la nature des données personnelles, le volume des personnes concernées, la possibilité d’identification des personnes concernées ainsi que des conséquences possibles rendait le risque de violation des données comme étant élevé. L’article 34-1 impose dans ce cas une communication par la société aux personnes concernées dans les meilleurs délais, ce qui n’a pas été fait.

L’année 2020 a été marquée par une augmentation de 24% du nombre de notifications de violations de donnée , passant à 2825 notification, et engagé plus d’une cinquantaine de procédures de contrôles. Concernant l’ensemble de ses activités, c’est plus de 6500 actes d’investigation effectués et engagé 247 contrôles.

PIETROWSKI Tanguy