Informatique

La société Slimpay sanctionné par la CNIL pour défaut de

La société Slimpay sanctionné par la CNIL pour défaut de sécurisation des données


Oublier un serveur de test peut vous coûter cher. La Société Slimpay a ainsi écopé d’une amende de 180 000 euros pour avoir laissé des données personnelles appartenant à 12 millions de personnes sur un serveur non sécurisé et accessible via internet. La CNIL a donc choisi de sanctionner la société et de publier sur son site les raisons de la sanction : la commission indique que le serveur, mis en service pour un projet de r&d en 2015 d’une durée d’un an, est resté accessible jusqu’en 2020.

Cette maladresse a exposé les données de 12 millions d’utilisateurs, parmi lesquelles on retrouvait des données personnelles (données d’état civil, adresses physique et e-mail et numéros de téléphone) mais aussi des informations bancaires, à savoir les identifiants BIC et IBAN des personnes concernées. Une erreur majeure pour une entreprise spécialisée dans la gestion des paiements : la CNIL estime ainsi que « le risque associé à la violation devait être considéré comme élevé » et que la société aurait donc du informer individuellement les utilisateurs affectés par l’exposition des données, comme le veut la loi. Slimpay se défend de son coté en expliquant que les données n’ont probablement pas été utilisées frauduleusement par des tiers, mais la CNIL rappelle dans son avis que « l’absence de préjudice avéré pour les personnes concernées n’a pas d’incidence sur l’existence du défaut de sécurité. »


L’article 32 du RGPD précise en effet que les entreprises sont tenues de sécuriser les données personnelles qu’elles traitent à « un niveau de sécurité adapté au risque. » Sans quoi, elles s’exposent à une sanction de la part de l’autorité de protection des données en cas de contrôle.
La Cnil également constaté des manquements liés à certaines dispositions contractuelles des services de Slimpay. La Cnil a ainsi constaté que les contrats proposés par Slimpay à ses prestataires ne contenaient pas de clauses visant à s’assurer que les sous traitants respectaient les dispositions du RGPD. Un oubli juridique qui n’arrange évidemment pas le dossier de la société, et qui pousse la Cnil à sanctionner la société de manière publique.




Source link

Articles similaires

Bouton retour en haut de la page