La CNIL[1] a sanctionné la société SLIMPAY, le 28 décembre 2021, pour n’avoir pas sécurisé les données à caractère personnel de ses clients, ce qui a conduit à leur divulgation.

La société, qui se vante être « le leader européen des paiements récurrents », a réalisé, au cours de l’année 2015, un projet interne de recherche sur un mécanisme de lutte contre la fraude en utilisant les données de ses clients. Ce projet s’est terminé un an plus tard, en 2016, mais les données des clients sont restées sur un serveur, sans protection, jusqu’à ce qu’un client de la société le remarque en février 2020.

Les données personnelles et bancaires d’environ 12 millions de personnes[2] étaient ainsi publiquement accessibles, dont : le nom des clients, le prénom, les coordonnées postales, l’adresse e-mail, le numéro de téléphone et les numéros BIC et IBAN du compte bancaire.

La CNIL reproche à la société de ne pas avoir pris des mesures « élémentaires de sécurité » pour restreindre l’accès au serveur et l’accès aux données, conformément aux exigences du RGPD[3][4]. La Commission considère, par exemple, que les activités du serveur (logs) auraient du être conservées, car cela aurait permis d’étudier les activités du serveur et de détecter d’éventuelles anomalies.

La CNIL a aussi indiqué à la société, qui a justifié ces manquements par une « négligence humaine » d’un de ses salariés, qu’elle ne peut pas rejeter la responsabilité sur l’un de ses salariés, car ce dernier « agissait en sa qualité de salarié sur les instructions de la société et pour son compte », en ajoutant que la sécurité des systèmes repose « sur un ensemble de mesures, techniques et procédurales, et non sur la seule compétence des personnes ».

Par ailleurs, la CNIL reproche également à SlimPay de ne pas avoir alerté les personnes victimes de cette fuite de données[5]. La Commission a considéré, contrairement à la société, « au regard de la nature des données à caractère personnel, du volume de personnes concernées, de la facilité d’identifier les personnes touchées par la violation et des conséquences possibles pour les personnes concernées », que les clients auraient dû être avertis, car la perte de leurs données fait peser un risque élevé sur eux. La société ne pouvait pas non plus prétendre être dans l’incapacité[6] de les avertir, car elle possédait l’adresse e-mail de la moitié d’entre eux. Pour les autres, une communication sur le site Internet de la société aurait dû été réalisée, car, même si les personnes n’avaient pas de raison de consulter le site de SlimPay, ne connaissant même pas son existence, la toile se serait chargée de relayer l’information.

Enfin, la CNIL reproche aussi à la société de ne pas avoir pris des mesures suffisantes pour s’assurer que ses sous-traitants respectent les exigences du RGPD, car la société se contenait de leur faire compléter des questionnaires, mais n’imposait pas de contrats contraignants.

Une amende de 180 000 € a été prononcée contre la société SlimPay.

Ma réaction à cette décision

On ne peut jamais se prémunir à 100 % des pertes de données, car les systèmes sont réalisés par des humains et les humains sont...humains, c’est-à-dire qu’ils font parfois preuve de négligence ou commettent des erreurs. Les conditions dans lesquelles cette perte de données est arrivée sont cependant inacceptables, tout comme les positions et arguments de la société SlimPay.

Les dirigeants de la société SlimPay ont décidé qu’il était juste de ne pas prendre la responsabilité de leurs erreurs, mais de rejeter la responsabilité sur ses salariés. Cela n’est pas acceptable.

Les dirigeants de la société SlimPay ont décidé qu’il était juste de ne pas avertir les personnes suite à la divulgation de leurs coordonnées postales, électroniques et bancaires, sous prétexte que « cela n’a pas causé de préjudice aux personnes concernées ». Cela n’est pas acceptable. Si la publication des coordonnées des personnes n’entrainaît aucun préjudice pour les personnes, pourquoi passer par un « un établissement de paiement agréé » et ne pas demander aux personnes de rendre publiques toutes leurs coordonnées directement ? C’est une mauvaise foi évidente.

Par ailleurs, il est étonnant que la société SlimPay ait jugé juste de réutiliser les « vraies » données de ses clients (les sites marchands) pour effectuer des « études » avec si peu de sérieux. Les données étaient initialement collectées pour mettre en place des paiements, pas pour réaliser des analyses transverses. Sous prétexte d’amélioration de la sécurité et de lutte contre la fraude, les données se sont finalement retrouvées dans la nature.

Enfin, concernant le montant ridicule de l’amende, la société SlimPay est certes déficitaire, comme la quasi-totalité des « start-ups » dont l’objectif est de conquérir le monde, mais la société a néanmoins levé 15 millions d’euros[7]. L’argent ne manque donc pas et ce n’est 180 000 €, soit 1,5 % de l’argent levé, qui aura une quelconque conséquence pour la société. Cela n’empêche pas ses dirigeants de faire du chantage à l’emploi, considérant qu’une amende élevée « aurait un impact catastrophique pour les emplois qu’elle tente de pérenniser ». Cela n’est, encore une fois, pas acceptable. Au contraire, une amende plus élevée ferait comprendre aux dirigeants et actionnaires de SlimPay que les données des personnes doivent être traitées avec sérieux et qu’il est nécessaire d’investir dans la sécurité des systèmes lorsqu’on a la prétention de devenir « le leader européen des paiements récurrents »,

Toujours concernant l’amende, il est intéressant de faire le parallèle entre son montant (180 000 €) et le nombre de personnes affectées (12 478 819). Les données postales, électroniques et bancaires d’une personne valent donc 1,4 centime d’euros. Vous pouvez trouver cela normal, moi pas.

Lire :

Notes et références

  1. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
  2. La société SlimPay étant française et ayant de nombreux clients français, il est fort probable qu’un grand nombre de ces 12 478 819 personnes soient françaises. La décision de la CNIL indique que des clients allemands, espagnols, italiens et hollandais font aussi partie des victimes.
  3. RGPD : Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).
  4. Le RGPD demande que « des mesures techniques et organisationnelles appropriées [soient mises en œuvre] afin de garantir un niveau de sécurité adapté au risque » (source : RGPD, article 32-1). La société SlimPay n’avait pas pris de mesure pour sécuriser le serveur où se trouvait les données.
  5. Lorsque des données à caractère personnelles sont divulguées et que cela est « susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne », le RGPD demande de « communique[r] la violation de données à caractère personnel à la personne concernée dans les meilleurs délais ». La société SlimPay n’avait pas communiquer la violation de données à ses clients, sous prétexte qu’elle ne représentait pas un risque élevé. Voir « Faut-il informer les personnes suite à violation de données ? »
  6. Le RGPD demande de communiquer la divulgation de données personnelles aux personnes concernées, sauf si cela « exigerait des efforts disproportionnés » (source : RGPD, article 34-3-c). La société SlimPay possédait l’adresse e-mail de la moitié des personnes (6 250 310 adresses). L’envoi d’un e-mail d’avertissement à ces personnes ne représente pas un effort disproportionné. Voir « Comment informer les personnes suite à violation de données ? ».
  7. La société SlimPay a annoncé avoir levé 15 millions € en 2015 auprès de l’investisseur Prime Ventures (source : slimpay.com).