Accueil //Blog //RGPD //Zoom sur //[DÉLIBÉRATION COMMENTÉE] CNIL vs. Discord Inc., 10 novembre 2022

Résumé des faits

La Société Discord Inc. est un logiciel de voix sur IP et de messagerie instantanée, qui propose un large éventail de façons d’interagir.

A la suite de plusieurs contrôles effectués auprès de la société Discord Inc., la CNIL a constaté plusieurs manquements et a sanctionné la société par une amende publique de 800 000 euros pour non-respect des règles concernant la conservation des données, l’information des personnes concernées, la protection des données par défaut ainsi que la sécurité des données.

Motifs de la sanction / Manquements

  • Non-respect de l’art. 1. e) du RGPD

Conservation des données au-delà de la durée nécessaire et absence d’une politique écrite de durée de conservation des données.

  • Non-respect de l’art. 13 du RGPD

Mentions d’information non-exhaustives, l’information sur la durée de conservation des données étant présentée de manière générique et n’étant pas suffisamment explicite.

  • Non-respect de l’art. 25.2 du RGPD

Absence de mesures appropriées pour garantir la protection des données par défaut, l’application étant paramétrée de manière à rester active même lorsque l’utilisateur ferme la fenêtre principale, et l’information communiquant sur le statut « actif » de l’application n’étant pas suffisamment visible et claire. Ceci impliquait la communication de données personnelles à des tiers sans que la personne concernée n’en soit consciente, entrainant des risques importants pour les utilisateurs.

  • Non-respect de l’art. 32 du RGPD

Absence de mesures de sécurité appropriées, la politique de gestion des mots de passe n’étant pas suffisamment robuste.

  • Non-respect de l’art. 35 du RGPD

Absence de réalisation d’une analyse d’impact, alors que sa mise en œuvre est nécessaire au regard du volume des données traitées par la société et de l’utilisation des services par des mineurs.

Que retenir de la décision ?

  • La politique de confidentialité communiquée aux utilisateurs français doit être disponible en langue française.
  • Le responsable de traitement ne peut se contenter de préciser que les données personnelles seront conservées le temps nécessaire pour atteindre la finalité et les éléments fournis à la personne concernée doivent lui permettre d’avoir connaissance de la durée de conservation ou au moins d’évaluer cette période.
  • La seule communication des critères pour la détermination de la durée de conservation n’est permise que dans le cas où il n’est pas possible de fournir une durée précise.
  • Un avertissement ou encore une information spécifique et clair est nécessaire à chaque fois que le responsable de traitement souhaite attirer l’attention de la personne concernée sur un élément important.
  • La longueur et la complexité d’un mot de passe sont des critères élémentaires dans le cadre de l’appréciation de la force de celui-ci.

Le + DLD

  • Le paramétrage par défaut d’une application ne permet pas de se conformer à l’exigence de protection des données par défaut.
  • Bien que le mineur puisse consentir seul à un traitement de données personnelles à partir de l’âge de 15 ans, le mineur âgé entre 15 et 18 ans reste un enfant et doit être considéré comme une personne vulnérable.
  • La CNIL prend en compte pour le calcul du montant de l’amende non seulement les manquements retenus et le nombre de personnes concernées, mais également les efforts réalisés par la société pour se mettre en conformité et le fait que le modèle d’affaires soit fondé ou pas sur l’exploitation de données personnelles.
  • Pour décider si la publication de la sanction est justifiée, la CNIL tient compte notamment du nombre de personnes concernées ainsi que du nombre de manquements commis et de leur gravité.

Délibération Complète de la CNIL

Consulter

À lire aussi