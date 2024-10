La Commission nationale de l'informatique et des libertés (CNIL) a prononcé une sanction d'un montant de 750 000 € auprès du fabricant de portefeuilles crypto Ledger. En cause, les violations de données survenues il y a quelques années maintenant.

C'est un triste souvenir pour la licorne française : au mois de juillet 2020, elle avait été victime d'une brèche de sécurité via Shopify, laissant fuiter certaines coordonnées d'environ un million de clients. Quelque temps plus tard, cette base de données avait été rendue publique, laissant 273 000 numéros de téléphone, adresses, noms et prénoms de clients de Ledger visibles pour qui le voulait. Une catastrophe, en somme.

Nous avons contacté la CNIL, qui nous a confirmé l'information. L'amende infligée à Ledger fait suite à une cinquantaine de plaintes de résidents français, mais également d'autres pays membres de l'Union européenne. Suite à ces plaintes, la CNIL avait ouvert une procédure de contrôle, avant de procéder à des vérifications débouchant elles-mêmes sur la saisie de la formation restreinte de la CNIL.

Le dossier a ensuite fait l'objet d'une procédure de coopération européenne qui a conduit à la sanction imposée par la CNIL à Ledger.

Le montant de la sanction prononcée par la CNIL n'a pas été rendu public, mais nous a été confirmée par une source proche du dossier.

Nous avons contacté Ledger, qui nous a également confirmé la sanction, rappelant que ses produits phares, les portefeuilles éponymes dédiés au stockage de cryptomonnaies, ne sont nullement concernés :

« Ledger confirme une sanction de la part de la Commission Nationale de l'Informatique et des Libertés (CNIL), en lien avec un incident survenu en 2020, que Ledger avait notifié à la CNIL et largement communiqué à ses clients. Certaines informations de contact et de panier e-commerce de clients avaient été obtenues via une clé API e-commerce tierce mal configurée, mais rapidement corrigée par Ledger. Ledger est fermement attachée à la mise en œuvre des mesures les plus strictes de protection des données et de confidentialité, qui sont continuellement évaluées et améliorées. Les produits Ledger n'ont jamais été exposés, cet incident concernant uniquement l’activité e-commerce. »