
Par une délibération SAN-2022-020 du 10 novembre 2022 rendue publique le 17 novembre 2022, la CNIL a considéré que la société DISCORD INC avait manqué à plusieurs obligations prévues par le RGPD. Elle a prononcé à son encontre une amende de 800.000 euros.
Pour rappel, Discord est un service de voix sur IP (technologie qui permet aux utilisateurs de discuter via leur microphone et/ou leur webcam via internet) et de messagerie instantanée, dans laquelle les utilisateurs peuvent créer des serveurs, des salons textuels, vocaux et vidéos.
A la suite de contrôles effectués par la formation restreinte de la CNIL, il est apparu que la société éditrice de ce service avait manqué à plusieurs de ses obligations :
- Durée de conservation (Article 5.1.e du RGPD) :
Discord a indiqué ne pas avoir de politique écrite de conservation des données. Les constatations effectuées par la CNIL ont permis de confirmer qu’il existait 2 474 000 comptes d’utilisateurs français n’ayant pas utilisé leur compte depuis plus de trois ans et 58 000 comptes non utilisés depuis plus de cinq ans. La société s’est mise en conformité au cours de la procédure sur ce point. - Obligation d’information (Article 13 du RGPD) :
L’information concernant les durées de conservation ne comportait ni durées précises, ni critères permettant de déterminer celles-ci. Discord s’est également mise en conformité au cours de la procédure sur ce point. - Protection des données par défaut (Article 25.2 du RGPD) :
Le troisième manquement concerne la protection des données par défaut. Dans le cadre de la procédure, la société Discord a néanmoins mis en place une fenêtre « pop-up » permettant, lorsque la fenêtre a été fermée pour la première fois, d’alerter les personnes connectées à un salon vocal que l’application Discord est toujours en fonctionnement et que ce paramètre peut directement être modifié par l’utilisateur. - Sécurité des données (Article 32 du RGPD) :
Lors de la création d’un compte sur Discord, un mot de passe composé de six caractères incluant des lettres et des chiffres était accepté. La formation restreinte a considéré que la politique de gestion des mots de passe n’était pas suffisamment robuste et contraignante pour garantir la sécurité des comptes des utilisateurs. La société a toutefois pris des mesures au cours de la procédure concernant la sécurisation de l’accès aux comptes. - Analyse d’impact (Article 35 du RGPD) :
Le dernier manquement concerne l’obligation d’effectuer une analyse d’impact relative à la protection des données ; la société ayant estimé qu’il n’était pas nécessaire d’en réaliser une. Toutefois, la CNIL a estimé qu’elle aurait dû procéder à une telle analyse d’impact au regard du volume de données traitées et de l’utilisation de ses services par des mineurs. La société a pris des mesures au cours de la procédure en réalisant deux analyses d’impact qui ont conclu que le traitement n’est pas susceptible d’engendrer un risque élevé pour les droits et libertés des personnes.
Ce qu’il faut retenir de cette délibération :
Il importe de :
- Définir et appliquer une politique de durée de conservation des données ;
- Suivre les recommandations de la CNIL en matière de mots de passe ;
- Tenir à jour un registre des activités de traitements ;
- Supprimer les comptes clients inactifs ;
- Détenir et faire traduire la politique de confidentialité dans la langue du pays visé ;
- Respecter le principe de « Privacy by Design ».