MikaLa Commission nationale de l’informatique et des libertés (CNIL), ce gendarme français du numérique, n’a pas la main légère dès qu’il s’agit de données personnelles. Ledger, la start-up française spécialisée dans les « hardware wallets », vient d’en faire l’amère expérience. Cette fois, pour avoir joué un peu trop avec les limites de la législation.
Selon les indiscrétions de La Lettre, Ledger aurait négligé ses obligations en matière de protection des données personnelles en 2020. En juillet de cette même année, un incident de sécurité expose les informations personnelles d’environ un million de ses clients. Pire encore, quelques mois plus tard, la start-up subit une autre faille, cette fois compromettant 273 000 numéros de téléphones et autres données confidentielles. Conséquence : une avalanche de plaintes déposées en France et ailleurs en Europe. La CNIL, qui n’a pas vraiment apprécié la gestion « froide » de Ledger, a donc décidé de sévir.
750 000 euros, c’est la note infligée à Ledger pour son manque de vigilance quant à la conservation et la durée de stockage des données, non conforme au Règlement général sur la protection des données (RGPD). Comme ses consœurs luxembourgeoise (CNPD) et belge (APD), la CNIL ne badine pas avec les amendes lorsqu’il s’agit de protection de données. Google, Apple, Amazon et autres mastodontes ont déjà vu leur portefeuille allégé de quelques centaines de millions pour des manquements similaires.
Mais la mésaventure de Ledger, auteur d’un wallet à écran tactile, ne s’arrête pas là. La CNIL a précisé qu’« toute personne concernée qui se prévaut d’un préjudice et souhaite obtenir réparation peut saisir les juridictions compétentes ». Voilà une affaire qui pourrait encore rebondir !
