L’établissement de paiement a été épinglé par le gendarme des données personnelles pour avoir exposé les données bancaires de 12 millions de personnes pendant quatre ans. La conséquence indésirée d’un projet de recherche vaut à Slimpay une amende de 180 000 euros.
En 2015, Slimpay se lance dans un projet de recherche. Pour ce faire, l’établissement de paiement exploite les données personnelles contenues dans ses bases. Le projet s’achève en juillet 2016 mais l’entreprise oublie un serveur contenant les données de 12 millions de personnes, dont des données bancaires. Celles-ci sont librement accessibles en ligne, sans aucune mesure de sécurité particulière.
Ce n’est qu’en février 2020 que Slimpay constate l’exposition de ses données en lignes. Au passage, la Cnil réalise un contrôle auprès de l’entreprise, et constate en conséquence plusieurs manquements au RGPD. Elle reproche notamment à l’établissement agréé l’absence, dans ses contrats avec ses prestataires, de clauses « permettant de s'assurer que ces sous-traitants s'engagent à traiter les données personnelles en conformité avec le RGPD ».
Une sanction légère
La société a en outre échoué à sécuriser ses données sur ledit serveur. « Il était possible d'y accéder à partir d'Internet entre novembre 2015 et février 2020. Les données d'état civil (civilité, nom, prénom), les adresses postales et électroniques, les numéros de téléphone et des informations bancaires (BIC/IBAN) de plus de 12 millions de personnes ont ainsi été compromises » écrit la Cnil.
Enfin, vus le nombre de personnes concernées, la sensibilité des données stockées et les risques afférents à une compromission, Slimpay aurait dû informer les personnes concernées, clairement identifiables. Ce que l’entreprise n’a pas fait. Ces manquements lui valent une amende de 180 000 euros, décidée en coopération avec les autorités néerlandaises, allemandes, espagnoles et italiennes.