La Cnil a infligé à la société Slimpay une amende de 180.000 € notamment pour avoir insuffisamment protégé les données personnelles des utilisateurs et ne pas les avoir informés d’une violation de données.La société Slimpay est un établissement de paiement agréé qui propose notamment des solutions de paiements récurrents à ses clients.
En 2015, la société a effectué un projet de recherche interne, lors duquel elle a utilisé les données personnelles contenues dans ses bases de données. Au terme de ce projet intervenu l'année suivante, les données sont restées stockées sur un serveur, qui ne faisait pas l’objet d’une procédure de sécurité particulière et qui était librement accessible depuis internet. Ce n’est qu’en février 2020 que la société s’est aperçue de la violation de données, qui a concerné environ 12 millions de personnes se trouvant dans plusieurs pays de l’Union européenne.
Par une délibération SAN-2021-020 du 28 décembre 2021, la formation restreinte de la Commission nationale de l'informatique et des libertés (Cnil) a considéré que la société avait manqué à plusieurs obligations prévues par le règlement 2016/679 du 27 avril 2016 (RGPD) et a prononcé une amende de 180.000 €.
