La Commission de l'informatique et des libertés (Cnil) informe avoir sanctionné SlimPay d'une amende de 180 000 € pour violation de données.
Spécialisée dans les paiements récurrents pour les abonnements, la fintech française est pointée du doigt pour plusieurs manquements à des obligations prévues dans le cadre du Règlement général sur la protection des données en vigueur en Europe (RGPD).
Des données bancaires compromises
Sur une période de plus de quatre ans jusqu'à début 2020, SlimPay a laissé sans protection d'accès adéquate sur un serveur de test les données de plus de 12 millions de personnes. Librement accessibles depuis Internet, elles comprenaient l'état civil, les adresses postales et électroniques, les numéros de téléphone et des informations bancaires (BIC / IBAN).
Les personnes concernées se trouvaient dans plusieurs pays de l'Union européenne. La Cnil souligne avoir coopéré avec les autorités de contrôle de l'Allemagne, Espagne, Italie et des Pays-Bas.
" Si la société s'est défendue en indiquant que les données (ndlr : datant de 2012 à 2013) n'ont probablement pas été utilisées frauduleusement ", la Cnil indique avoir retenu un manquement à l'obligation d'assurer la sécurité des données personnelles. Parmi d'autres manquements, l'obligation d'informer toutes les personnes concernées.
Sur son site, SlimPay référence quelques-uns de ses clients parmi lesquels AXA, Deezer, EDF, Feu Vert, Fitness Park, Mediapart, Nespresso, UGC, Solocal...
