Sur la délibération SAN-2021-020 du 28 décembre 2021
La CNIL a sanctionné à hauteur de 180 000 € un prestataire de service de paiement (PSP) proposant aux marchands des services de paiement récurrents, mandats SEPA, etc.
Les bonnes pratiques à retenir :
- Encadrer les relations avec ses sous-traitant par un contrat conforme aux exigences de l’article 28§3 du RGPD
- Vérifier le niveau de sécurité de ses sous-traitants
- Mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque
- En particulier sécuriser les serveurs : restriction d’accès aux seules personnes qui auraient dues être autorisées, mesure de journalisation des accès, etc.
- Avoir des mots de passe d’accès aux interfaces utilisateurs robustes et conforme aux recommandations de la CNIL et de l’ANSSI
- Éviter de conserver les RIB et IBAN et/ou sécuriser leur collecte et conservation : les RIB et IBAN sont des données « hautement personnelles » devant faire l’objet d’une vigilance particulière en ce qui concerne leur sécurisation
Références
- Délibération SAN-2021-020 du 28 décembre 2021
- Articles 28 paragraphes 3 et 4, 32 et 34 du RGPD
- CNIL – Sécurité : Chiffrer, garantir l’intégrité ou signer
- CNIL – Projet de recommandation mot de passe
- CNIL – Guide de la sécurité des données personnelles
- ANSSI – Recommandations relatives à l’authentification multi facteur et aux mots de passe