La start-up Slimpay sanctionnée pour une violation de données bancaires

La start-up française spécialisée dans les paiements récurrents Slimpay a été sanctionnée par la Cnil d'une amende de 180.000 euros pour avoir laissé sans protection pendant plus de 4 ans les données bancaires de 12 millions de personnes, a indiqué jeudi la Commission.

A l'issue d'un "projet de recherche interne" mené courant 2015, Slimpay avait laissé un serveur contenant des données sensibles librement accessible sur internet, sans mesures de protection particulières, a expliqué le gendarme français des données personnelles.

La société n'a pas informé les victimes

Ces données comportaient l'"état civil (civilité, nom, prénom), les adresses postales et électroniques, les numéros de téléphone et des informations bancaires (BIC/IBAN) de plus de 12 millions de personnes" dans plusieurs pays de l'Union européenne, a précisé la Cnil qui a effectué un contrôle de la société en 2020 et a relevé plusieurs manquements.

Tout d'abord, la Cnil a retenu le défaut de sécurité, même si "la société s'est défendue en indiquant que les données n'ont probablement pas été utilisées frauduleusement". Elle a également estimé que, compte tenu notamment de la nature des informations (bancaires), la société aurait dû informer les personnes concernées, ce qu'elle n'a pas fait.

Enfin, certains contrats avec des prestataires ne contenaient pas toutes les clauses permettant de s'assurer que ces sous-traitants s'engagent à respecter le Règlement général sur la protection des données (RGPD).

Fondée en 2010, Slimpay développe une solution qui permet aux commerçants d'offrir à leur clientèle la possibilité de payer en plusieurs fois, par carte ou prélèvements bancaires.