Le 28 décembre 2021, la CNIL a sanctionné Slimpay d’une amende de 180 000 euros pour avoir insuffisamment protégé les données personnelles de ses utilisateurs et ne pas les avoir informés d’une violation de données.
Plusieurs manquements constatés par la CNIL
Fondée en 2009, Slimpay se présente comme le leader européen des paiements récurrents. La Fintech propose des technologies et services innovants qui ont pour but de faciliter l’acquisition client et de maximiser le chiffre d’affaires des marchands grâce au paiement par carte et au prélèvement bancaire. Déjà implantée à Paris et à Madrid, la société a pour ambition de s’étendre géographiquement en réinventant le parcours de paiement récurrent.
En 2015, Slimpay a mené un « projet de recherche interne » sur un mécanisme de lutte contre la fraude lors duquel elle a utilisé les données personnelles de ses clients. Le projet a pris fin un an plus tard et les données sont restées stockées sur un serveur librement accessible depuis Internet.
À l’occasion d’un contrôle, la CNIL a établi que celles-ci comportaient « l’état civil (civilité, nom, prénom), les adresses postales et électroniques, les numéros de téléphone et des informations bancaires (BIC/IBAN) de plus de 12 millions de personnes » dans plusieurs pays de l’Union européenne.
Plus précisément, la Commission a constaté trois principaux manquements.
Un manquement à l’obligation d’encadrer les traitements confiés à un sous-traitant
Les contrats conclus par Slimpay avec ses prestataires ne contenaient pas tous des clauses garantissant que ces derniers s’engagent à traiter les données personnelles conformément au RGPD.
Un manquement à l’obligation d’assurer la sécurité des données personnelles
La CNIL a pu établir que l’accès au serveur sur lequel étaient stockées les données personnelles des clients n’avait fait l’objet d’aucune mesure de sécurité particulière. Ce manquement à l’article 32 du RGPD a été retenu même en l’absence de préjudice avéré pour les utilisateurs concernés.
Un manquement à l’obligation de notification d’une violation des données personnelles aux clients
Pour finir, la CNIL a considéré que compte tenu de la nature des données personnelles, du volume de personnes concernées et de la possibilité de les identifier par la violation à partir de données accessibles, la société aurait dû informer ses clients.
Une amende de 180 000 euros
Après avoir relevé plusieurs manquements concernant le traitement des données personnelles des clients de Slimpay, la formation restreinte, qui est l’organe de la CNIL chargé de prononcer les sanctions, a infligé à l’entreprise une amende de 180 000 euros et décidé de rendre sa décision publique. Celle-ci a été prise en coopération avec les autorités néerlandaises, allemandes, espagnoles et italiennes, pour tenir compte du fait que les personnes concernées par la violation des données se trouvent dans plusieurs pays de l’Union européenne.
Cette sanction intervient alors que la CNIL a récemment confirmé son intention de renforcer sa surveillance des acteurs du paiement. Dans cet objectif, elle a publié en octobre dernier un livre blanc « Quand la confiance paie » qui alerte sur les risques que font peser ces acteurs pour la protection des données personnelles.