A la suite d’une notification de violation de données personnelles, Slimpay a fait l’objet d’investigations de la CNIL sur l’ensemble de ses opérations traitements et non pas seulement celles concernées par la violation de données notifiée.
Slimpay est un établissement de paiement agréée proposant à des marchands des solutions de gestion des abonnements et des paiements récurrents.
Compétente en tant qu’autorité chef de file pour contrôler l’établissement de paiement, la CNIL après avoir soumis son projet de décision à ses homologues européens, a prononcé le 28 décembre 2021 une amende de 180 000 euros à l’encontre de Slimpay pour plusieurs manquements à la réglementation applicable en matière de protection des données à caractère personnel.
A l’occasion d’un projet de recherche, Slimpay a, en 2015, réutilisé des données à caractère personnel de débiteurs aux fins de test d’un dispositif de lutte contre la fraude. A l’issue de ce projet, les données utilisées sont restées hébergées sur un serveur en libre accès au moyen d’une URL simplement composée d’une adresse IP et d’un port de communication et accessible par tous.
Informée par l’un de ses clients marchands, l’établissement a très rapidement notifié la CNIL de la violation de données personnelles portant sur des données d’état civil (civilité, nom, prénom), adresses postales et électroniques, numéros de téléphone et informations bancaires (BIC/IBAN) de plus de 12 millions de ressortissants européens.
Après avoir relevé que la société agissait tant en tant que responsable de traitement que sous-traitant selon les traitements envisagés, la CNIL a constaté que Slimpay avait manqué à plusieurs de ses obligations et notamment à son obligation d’assurer la sécurité des données prévue par l’article 32 du RGPD.
L’autorité a relevé qu’à la suite de son projet de recherche, la société avait permis l’accès à partir d’Internet entre novembre 2015 et février 2020 aux données d’état civil (civilité, nom, prénom), adresses postales et électroniques, numéros de téléphone et informations bancaires (BIC/IBAN) d’un « nombre très important » de débiteurs personnes physiques de ses clients marchands.
La CNIL a alors relevé l’absence de mise en place de mesures de restriction d’accès satisfaisantes et de mesures de journalisation des accès au serveur. Ce manquement à l’obligation de l’article 32 du RGPD a été constaté même en l’absence de preuve de l’utilisation frauduleuse des données et de dommages avérés, l’autorité de contrôle ayant considéré que le risque d’une telle utilisation frauduleuse était réel compte tenu de l’accessibilité des données à des tiers non autorisés et du type de données en cause.
La CNIL a également relevé un manquement de l’établissement de paiement à son obligation d’information d’une violation de données personnelles aux personnes concernées.
La réglementation impose à un responsable de traitement de notifier la violation de données personnelles aux personnes concernées lorsque cette violation dépasse un certain seuil de gravité. Ce seuil était en l’espèce atteint dans la mesure où le risque associé à la violation en question était considéré comme élevé compte tenu de la nature des données personnelles (parmi lesquelles des informations bancaires), du volume de personnes concernées (12 478 819 ressortissants européens), de la possibilité de les identifier par la violation à partir des données accessibles et des conséquences possibles pour les personnes concernées (risques d’hameçonnage ou d’usurpation d’identité).
Allant au-delà du seul contrôle des manquements de l’entité traitant des données en lien avec la violation de données, la CNIL relève également un manquement de Slimpay à son obligation d’encadrer ses relations avec ses sous-traitants et son obligation de s’assurer qu’ils disposaient de garanties suffisantes.
Pour fournir ses services, Slimpay avait recours à des sous-traitants auxquels elle adressait un « questionnaire relatif à la sous-traitance » afin de se conformer au RGPD. Alors que l’article 28 du RGPD met à la charge du responsable de traitement l’obligation d’encadrer, par un acte juridique formalisé, les traitements effectués par un sous-traitant, la CNIL a relevé que ce questionnaire, s’il était effectivement retourné et rempli par le sous-traitant, ne constituait pas un acte juridique formalisé.
Sur ce même fondement, l’autorité de protection a constaté que plusieurs contrats conclus par Slimpay avec ses prestataires ne contenaient pas toutes les informations exigées par l’article 28 du RGPD permettant de s’assurer que le sous-traitant s’engage à traiter les données personnelles en conformité avec le RGPD, certains des contrats ne contenant même aucune de ces mentions.
Cette sanction est l’occasion de rappeler aux responsables de traitement que si l’évaluation de la conformité des sous-traitants, matérialisé par les questionnaires d’auto-évaluation qu’envoyait Slimpay à ses sous-traitants, est un outil utile dans le cadre de sa politique de mise en conformité, la gestion des contrats est, elle, absolument indispensable.
Face à ces nombreux manquements, la CNIL a prononcé à l’encontre de Slimpay outre une amende de 180 000 euros, la publication de la décision dans son intégralité.
Lire la délibération de la CNIL
