La CNIL sanctionne le leader européen des services de paiements récurrents, Slimpay
À la suite d’une violation de données concernant les utilisateurs des services de paiement proposés par Slimpay, la CNIL a sanctionné le leader européen des services de paiements récurrents par une amende administrative de 180.000 euros pour divers manquements à la réglementation protectrice des données à caractère personnel.
Dans le cadre d’un projet interne d’étude d’un dispositif de lutte contre la fraude, Slimpay a souhaité réutiliser des données qu’elle avait en base, à des fins de test. Pour cela, elle a transféré ces données sur un serveur dédié – mais insuffisamment sécurisé –, où elles sont restées stockées pendant plusieurs mois, tout en étant librement accessibles sur internet.
Slimpay a mis fin à cette faille de sécurité lorsqu’elle en a été informée, puis a notifié la violation de données à la CNIL. Dans le cadre de la mission de contrôle sur pièces diligentée quelques mois après la notification de la violation, la CNIL a soulevé les manquements au RGPD suivants, objets de la sanction :
1. Pour le traitement en cause, la CNIL a logiquement qualifié Slimpay de responsable de traitement
En décidant de mettre en œuvre un traitement d’étude d’un dispositif de lutte contre la fraude pour ses propres besoins, Slimpay a déterminé les finalités et les moyens dudit traitement et a donc agi en tant que responsable de traitement. La CNIL a également rappelé que ce prestataire intervient habituellement comme sous-traitant pour les traitements mis en œuvre dans le cadre des services fournis à ses clients, responsables de traitement.
2. Un manquement du sous-traitant à l’obligation d’encadrer les relations avec des sous-traitants ultérieurs (RGPD, art. 28)
Sur ce point, la CNIL a rappelé qu’un encadrement juridique adéquat suppose la formalisation d’un acte juridique – généralement un contrat –, et surtout, que cet acte doit reprendre l’intégralité des clauses prévues par l’article 28 §3 du RGPD.
S’agissant des sous-traitants ultérieurs, il convient de leur imposer par un acte juridique de ce type « les mêmes obligations en matière de protection des données que celles fixées dans le contrat entre le responsable de traitement et le sous-traitant (…) de manière à ce que le traitement réponde aux exigences du règlement » (RGPD, article 28 §4).
3. Un manquement à l’obligation d’assurer la sécurité des données (RGPD, art. 32) pour le traitement d’étude du dispositif de lutte contre la fraude.
Concrètement, l’accès au serveur dédié sur lequel étaient stockées les données, ne comprenait pas de mesure suffisante de restriction des accès, et il n’y avait aucune mesure de journalisation. Les données étaient accessibles depuis internet et, qui plus est, parfaitement lisibles en raison du format dans lequel elles étaient conservées.
La CNIL a rappelé que le manquement à l’obligation de sécurité est caractérisé du seul fait de l’existence d’un risque, et non par la preuve rapportée d’une utilisation frauduleuse des données ou la réalisation d’un dommage avéré pour les personnes concernées.
4. Un manquement à l’obligation de communication aux personnes concernées d’une violation de données en cas de risque élevé pour ces personnes (RGPD, art. 34)
En prenant en compte la nature des données en cause (état civil, coordonnées postales, téléphoniques et électroniques, informations bancaires), le nombre de personnes concernées, la facilité à les identifier, et les conséquences possibles (hameçonnage, usurpation d’identité), la CNIL a estimé qu’il existait un risque élevé pour les personnes concernées.
En conséquence, le responsable de traitement aurait dû procéder à une communication aux personnes, en plus de la notification à l’autorité de contrôle.
La sanction CNIL intervient dans le sillage de son nouveau livre blanc consacré aux données et moyens de paiement
Le 6 octobre 2021, la CNIL a publié un livre blanc intitulé « Quand la confiance paie : les moyens de paiement d’aujourd’hui et de demain au défi de la protection des données ».
À travers ce document, la Commission a souhaité informer le public sur les enjeux des nouveaux moyens de paiement numériques au regard de la protection des données et donner aux professionnels du secteur de la visibilité sur sa régulation en la matière.
Parmi les points de vigilance identifiés par la CNIL, la question de la sécurité des données de paiement occupe évidemment une place majeure. Il y est question également du statut des acteurs de la monétique au regard du RGPD, et plus précisément des qualifications contractuelles et des obligations de chacun dans les traitements de données réalisés.
De là à en conclure que la sanction prononcée le 28 décembre 2021 à l’encontre de la société Slimpay serait une première mise en pratique de la doctrine issue du livre blanc ?