Slimpay, fintech française spécialisée dans les paiements en ligne, a reçu une amende de la CNIL après avoir oublié les données bancaires de 12 millions d'usagers sur un serveur non sécurisé.
La pression monte sur le secteur des paiements électroniques. Début octobre, la Commission nationale de l'informatique et des libertés (CNIL) a publié un « Livre blanc sur les données et moyens de paiement ». Une manière d'appeler le secteur, et notamment ses acteurs innovants, à la vigilance sur le respect des règles de protection de ses données particulièrement sensible.
Hier jeudi 30 décembre, la CNIL a mis en pratique sa doctrine. Elle a infligé à Slimpay, un de ses acteurs innovants, une amende de 180 000 euros. Le tort de cette fintech française, spécialisée dans les paiements en ligne : avoir oublié pendant plus de 4 ans, sur un serveur non protégé et accessible depuis internet, les données bancaires de 12 millions de personnes et d'avoir omis de les en avertir une fois la brèche découverte.
Paiements : les limites de la carte bancaire pour les factures et abonnements
Des données sensibles
La défense de Slimpay, qui a estimé que les données n'avaient « probablement pas été utilisées frauduleusement », n'a pas suffi à adoucir la sentence. La CNIL a estimé que le risque associé à la violation était élevé. Les données laissées sans protection sont, en effet, particulièrement sensibles : état civil, adresses postales et électroniques, numéros de téléphone et numéros de compte BIC et IBAN. De nature, donc, à permettre à des cybercriminels de mettre en œuvre des campagnes d'hameçonnage (ou phishing) ou des usurpations d'identité.
L'autre tort reproché à Slimpay est de ne pas avoir averti les personnes concernées. Une fois la brèche découverte, grâce au signalement d'un client en février 2020, Slimpay a protégé les données et averti la CNIL. Mais, estimant que le risque de fuite était faible, elle n'est pas allée plus loin. La CNIL a, elle, estimé qu'elle aurait dû avertir les 12 millions de « victimes » potentielles.
Lancé en 2009, Slimpay commercialise une solution de paiement en ligne basée sur le prélèvement SEPA, alternative à la carte bancaire pour les commerçants proposant des formules d'abonnement. Elle compte parmi ses clients EDF, Deezer, Nespresso, Unicef...
