CNIL - Violation de données : sanction de 180 000 euros

Christophe BARDY - GRACES community
23/7/2022
Propulsé par Virginie
Cet article est réservé aux membres GRACES.community

Le 28 décembre 2021, la formation restreinte de la CNIL a sanctionné la société SLIMPAY d’une amende de 180 000 euros notamment pour avoir insuffisamment protégé les données personnelles des utilisateurs et ne pas les avoir informés d’une violation de données.

Le contrôle et la sanction de la CNIL

La société SLIMPAY est un établissement de paiement agréé qui propose notamment des solutions de paiements récurrents à ses clients. Courant 2015, elle a effectué un projet de recherche interne, lors duquel elle a utilisé les données personnelles contenues dans ses bases de données. Lorsque le projet de recherche s’est terminé en juillet 2016, les données sont restées stockées sur un serveur, qui ne faisait pas l’objet d’une procédure de sécurité particulière et qui était librement accessible depuis Internet. Ce n’est qu’en février 2020 que la société SLIMPAY s’est aperçue de la violation de données, qui a concerné environ 12 millions de personnes. La CNIL a effectué un contrôle auprès de la société SLIMPAY en 2020. Elle a constaté plusieurs manquements concernant le traitement de données personnelles des clients. Sur la base de ces éléments, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a effectivement considéré que la société avait manqué à plusieurs obligations prévues par le RGPD. Les personnes concernées par la violation de données se trouvant dans plusieurs pays de l’Union européenne, la formation restreinte a coopéré avec les autorités de contrôle de quatre pays (Allemagne, Espagne, Italie et Pays-Bas). À l’issue de ce processus, la formation restreinte a prononcé une amende de 180 000 euros et a décidé de rendre publique sa décision.

Les manquements constatés

Un manquement à l’obligation d’encadrer, par un acte juridique formalisé, les traitements effectués par un sous-traitant (article 28 du RGPD)

Certains des contrats conclus par la société SLIMPAY avec ses prestataires ne contiennent pas toutes les clauses permettant de s’assurer que ces sous-traitants s’engagent à traiter les données personnelles en conformité avec le RGPD (l’article 28-3 du RGPD liste plusieurs obligations devant figurer dans les contrats). Certains des contrats ne contiennent même aucune de ces mentions.

Un manquement à l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD)

La formation restreinte a relevé que l’accès au serveur en question ne faisait l’objet d’aucune mesure de sécurité : il était possible d’y accéder à partir d’Internet entre novembre 2015 et février 2020. Les données d’état civil (civilité, nom, prénom), les adresses postales et électroniques, les numéros de téléphone et des informations bancaires (BIC/IBAN) de plus de 12 millions de personnes ont ainsi été compromises. Si la société s’est défendue en indiquant que les données n’ont probablement pas été utilisées frauduleusement, la CNIL a tout de même retenu un manquement à l’article 32 du RGPD, considérant que l’absence de préjudice avéré pour les personnes concernées n’a pas d’incidence sur l’existence du défaut de sécurité.

Un manquement à l’obligation d’information d’une violation de données personnelles aux personnes concernées (article 34 du RGPD)

La CNIL a considéré que, compte tenu de la nature des données personnelles (comportant notamment des informations bancaires), du volume de personnes concernées (plus de 12 millions), de la possibilité d’identifier les personnes touchées par la violation à partir des données accessibles et des conséquences possibles pour les personnes concernées (risques d’hameçonnage ou d’usurpation d’identité), le risque associé à la violation devait être considéré comme élevé. La société aurait donc dû informer toutes les personnes concernées, ce qu’elle n’a pas fait. Texte reference

La décision de la CNIL

> Délibération de la formation restreinte n°SAN-2021-020 du 28 décembre 2021 concernant la société SLIMPAY - Légifrance  Texte reference

Pour approfondir

Travailler avec un sous-traitant

https://www.cnil.fr/fr/sous-traitant

Cybersécurité

https://www.cnil.fr/fr/cybersecurite

Les violations de données personnelles

https://www.cnil.fr/fr/les-violations-de-donnees-personnelles

Les étapes de la procédure de sanction

https://www.cnil.fr/fr/les-etapes-de-la-procedure-de-sanction

Les textes officiels

Article 28 du RGPD (sous-traitant)

https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article28

Article 32 du RGPD (sécurité des données personnelles)

https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article32

Article 34 du RGPD (communication à la personne concernée d'une violation de données personnelles)

https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article34

Tous les jours, GRACES.community sélectionne, gratuitement, pour vous le ou les articles importants pour votre prochaine veille réglementaire.

A propos de GRACES.community : pionner et leader des recrutements en Compliance, Ethiques, Gouvernance, Risques !

✍🏼 Proposer une offre de job : https://graces.community/recruteur/

💈 Consulter les offres qui vous correspondent : https://app.graces.community/register/

Envie de lire la suite de l’article ?
Il vous reste 50% de l’article à lire
Inscrivez-vous sur GRACES.community pour profitez de toute l’actualité compliance
directement depuis votre espace Membre !
M'inscrire

Plus de 200 sociétés ont trouvé leur compliance officer avec GRACES.community,

et si c’était vous ?