Accueil //Blog //RGPD //Zoom sur //[DÉLIBÉRATION COMMENTÉE] CNIL vs. Slimpay, 28 décembre 2021

Résumé des faits

Des données concernant 12 millions de personnes ont été stockées sur un serveur, librement accessible depuis internet. Une première violation de données a été notifiée à la CNIL le 17 février 2020, puis une seconde fois le 26 février 2020 avec davantage de précisions sur la violation.

Après avoir coopéré avec les autorités de contrôle de quatre pays européens, la CNIL a sanctionné la société SLIMPAY d’une amende publique de 180 000 euros pour plusieurs manquements, dont le défaut d’assurer la sécurité des données.

Motifs de la sanction / Manquements

Des données concernant plus de 490 000 patients de laboratoires d’analyses ont été diffusées illégitimement sur internet :

  • Non-respect de l’article 28 du RGPD : mentions obligatoires inexistantes dans les contrats conclus avec les prestataires.
  • Non-respect de l’article 32 du RGPD : aucune mesure suffisante de sécurisation des données n’a été mise en oeuvre permettant de gérer l’accès au serveur.
  • Non-respect de l’article 34 du RGPD : absence d’information des personnes concernées de la violation des données, le risque devant être considéré comme élevé au vu de la nature des données, de la possibilité de remonter vers les personnes et des conséquences possibles pour les personnes.

Que retenir de la décision ?

  • La notion de responsable de traitement doit faire l’objet d’une appréciation concrète en tenant compte de l’ensemble des éléments permettant d’attribuer cette qualité à une entité. Une entité peut être sous-traitant pour certains traitements et responsable de traitement pour d’autres traitements. En fournissant des services à des clients, le fournisseur agit comme sous-traitant de ses clients responsables de traitement. Les sous-traitants du fournisseur sont des sous-traitants de second niveau vis-à-vis des clients. le fournisseur agit comme responsable des traitements internes pour lesquelles il a déterminé les finalités et les moyens.
  • Le questionnaire transmis aux sous-traitants n’a qu’une valeur déclarative et ne permet pas de se conformer à l’obligation de l’article 28 d’encadrer par un contrat ou autre acte juridique la relation de sous-traitance.
  • L’obligation de l’article 28 du RGPD de faire apparaître certaines mentions obligatoires dans les documents contractuels entre un RT et un ST, s’impose aussi aux ST ultérieurs.
  • Mesures de sécurité recommandées en cas de données stockées sur un serveur :
    • Limiter les accès aux données aux seules personnes autorisées.
    • Mettre en place une journalisation des activités.
    • Recourir à des mots de passe d’accès robustes.

Les + de Data Legal Drive

  • Même si le nombre de personnes concernées devant être informées par une violation de données est élevé (6 250 310), une information par mail ne saurait être considérée comme exigeant des efforts disproportionnés.
  • La CNIL n’est pas tenue d’adresser au préalable une mise en demeure à l’organisme avant d’ouvrir une procédure de sanction à son encontre.
  • La survenance d’une violation de données et sa notification à la CNIL peut aboutir sur un contrôle de cette dernière sur le respect effectif des exigences liées à la règlementation sur les données personnelles.

Délibération complète de la CNIL

Consulter

À lire aussi