Cookies : Violation de données : sanction de 180 000 euros à l’encontre de la société SLIMPAY

Le 28 décembre 2021, la formation restreinte de la CNIL a sanctionné la société SLIMPAY d’une amende de 180 000 euros notamment pour avoir insuffisamment protégé les données personnelles des utilisateurs et ne pas les avoir informés d’une violation de données.

La société SLIMPAY est un établissement de paiement agréé qui propose des solutions de paiement. En 2015 elle a effectué un projet de recherche interne lors duquel elle a utilisé les données personnelles contenues dans ses bases de données. A la fin du projet les données sont restées stockées sur un serveur qui ne faisait pas l’objet d’une sécurité particulière et était librement accessible sur internet. SLIMPAY alertée par un de ses clients a notifié à la CNIL en février 2020 la faille qui a concerné 12 millions de personnes.

La formation restreinte de la CNIL a constaté un manquement à l’obligation d’encadrer, par un acte juridique formalisé, les traitements effectués par un sous-traitant (article 28 du RGPD) puisque les contrats de la société ne contenaient pas de clauses permettant de s’assurer que ces sous-traitants s’engagent à traiter les données personnelles en conformité avec le RGPD.

Elle constate également un manquement à l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD) puisque l’accès au serveur en question ne faisait l’objet d’aucune mesure de sécurité, peu importe qu’il ne soit pas établi de préjudice avéré pour les personnes concernées.

Enfin, elle constate un manquement à l’obligation d’information d’une violation de données personnelles aux personnes concernées (article 34 du RGPD). En effet, le risque associé à la violation devait être considéré comme élevé (compte tenu de la nature des données, du nombre de personnes touchées et des conséquences possibles), si bien que la société aurait dû informer toutes les personnes concernées.

De ce fait, la formation restreinte a prononcé une amende de 180 000 euros et a décidé de rendre publique sa décision.

Pour en savoir plus

Délibération SAN-2021-020 du 28 décembre 2021.

Cookie	Durée	Description
cookielawinfo-checkbox-advertisement	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Publicité".
cookielawinfo-checkbox-analytics	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Analytics".
cookielawinfo-checkbox-necessary	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Nécessaire".
cookielawinfo-checkbox-others	1 an	Ce cookie est défini par le plugin GDPR Cookie Consent. Le cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie "Autres".
cookielawinfo-checkbox-performance	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie "Performance".
viewed_cookie_policy	1 an	Le cookie est défini par le plugin GDPR Cookie Consent pour stocker si l'utilisateur a consenti ou non à l'utilisation de cookies. Il ne stocke aucune donnée personnelle.
_GRECAPTCHA	5 mois 27 jours	Ce cookie est défini par le service Google recaptcha pour identifier les robots afin de protéger le site Web contre les attaques de spam malveillantes.

Cookie	Durée	Description
CONSENT	16 ans	Ces cookies sont définis via des vidéos youtube intégrées. Ils enregistrent des données statistiques anonymes sur par exemple combien de fois la vidéo est affichée et quels paramètres sont utilisés pour la lecture. Aucune donnée sensible n'est collectée sauf si vous vous connectez à votre compte google, dans ce cas vos choix sont liés à votre compte, par exemple si vous cliquez sur « j'aime » sur une vidéo.
_ga	2 ans	Le cookie _ga, installé par Google Analytics, calcule les données des visiteurs, des sessions et des campagnes et assure également le suivi de l'utilisation du site pour le rapport d'analyse du site. Le cookie stocke des informations de manière anonyme et attribue un numéro généré de manière aléatoire pour reconnaître les visiteurs uniques.
_gid	1 jour	Installé par Google Analytics, le cookie _gid stocke des informations sur la façon dont les visiteurs utilisent un site Web, tout en créant également un rapport d'analyse des performances du site Web. Certaines des données collectées incluent le nombre de visiteurs, leur source et les pages qu'ils visitent de manière anonyme.

Cookie	Durée	Description
IDE	1 an 24 jours	Le cookie est défini par le consentement des cookies GDPR pour enregistrer le consentement de l'utilisateur pour les cookies dans la catégorie « Fonctionnel ».
test_cookie	15 minutes	Le test_cookie est défini par doubleclick.net et est utilisé pour déterminer si le navigateur de l'utilisateur prend en charge les cookies.
VISITOR_INFO1_LIVE	5 mois 27 jours	Cookie défini par YouTube pour mesurer la bande passante qui détermine si l'utilisateur obtient la nouvelle ou l'ancienne interface du lecteur.
YSC	session	Le cookie YSC est défini par Youtube et est utilisé pour suivre les vues des vidéos intégrées sur les pages Youtube.
yt-remote-connected-devices	jamais	YouTube définit ce cookie pour stocker les préférences vidéo de l'utilisateur utilisant la vidéo YouTube intégrée.
yt-remote-device-id	jamais	YouTube définit ce cookie pour stocker les préférences vidéo de l'utilisateur utilisant la vidéo YouTube intégrée.

Cookie	Durée	Description
45342b9b1e	session	Pas de description
cookielawinfo-checkbox-functional	1 an	Le cookie est défini par le consentement des cookies GDPR pour enregistrer le consentement de l'utilisateur pour les cookies dans la catégorie « Fonctionnel ».