La CNIL a estimé que Ledger n’avait pas mis en place les mesures adéquates pour protéger les données de ses utilisateurs.
Pour l’instant, cette sanction n’a fait l’objet d’aucune publication officielle de la CNIL. Le gendarme des données personnelles a confirmé à l’AFP que la startup française, spécialisée dans le développement et la commercialisation de portefeuilles de cryptomonnaies, a été condamnée suite à des violations de données remontant à 2020.
Selon certaines sources, l’entreprise aurait été sanctionnée à hauteur de 750 000 € pour ne pas avoir suffisamment protégé les données de ses utilisateurs. Toutefois, le montant de cette amende n’a pas été confirmé par la CNIL.
Deux fuites de données à un mois d’intervalle
Ledger a été condamnée pour avoir enfreint deux articles du RGPD relatifs à la conservation des données et à la manière dont celles-ci devaient être protégées. La CNIL aurait reçu plus de cinquante plaintes contre Ledger, selon le média spécialisé The Big Whale, dans le cadre de deux violations de données remontant respectivement à mai et juin 2020.
À cette époque, Ledger a été victime de deux piratages, entraînant l’exfiltration de près de 300 000 fichiers clients via une plateforme de e-commerce. Les données compromises comprenaient les noms, numéros de téléphone, adresses e-mail et adresses physiques des clients de Ledger. Les hackers ont ensuite mis ces fichiers en ligne, provoquant une vague de tentatives d’escroqueries. Un mois plus tard, en juin, Ledger a été de nouveau ciblée par une cyberattaque qui a affecté les données d’un million de personnes.