La DPA française (CNIL) a infligé une amende de 180 000 euros à l'établissement de paiement SLIMPAY. En 2015, SLIMPAY a mené un projet de recherche interne dans lequel elle a traité des données personnelles dans ses bases de données. Lorsque le projet de recherche a pris fin en juillet 2016, les données sont restées stockées sur un serveur, sans aucune mesure de sécurité et librement accessibles sur Internet. La violation de données a touché environ 12 millions de personnes. Au cours de son enquête, la CNIL a constaté que l'entreprise n'avait pas mis en œuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité à la hauteur du risque pour les personnes concernées. Ainsi, l'accès au serveur n'était soumis à aucune mesure de sécurité, de sorte qu'il était possible d'y accéder via Internet entre novembre 2015 et février 2020. De plus, la DPA a constaté que l'entreprise n'avait pas informé les personnes concernées de la violation de données. . La CNIL a également constaté que dans plusieurs cas, les contrats que l'entreprise avait conclus avec des sous-traitants étaient insuffisamment rédigés, car ils ne comportaient pas certaines clauses envisagées obligeant les sous-traitants à traiter les données personnelles conformément aux exigences du RGPD.