Par Anne-Charlotte Andrieux et Rebecca Käppner
Après avoir prononcé en septembre dernier une sanction de 250.000 euros à l’encontre d’Infogreffe pour avoir manqué à plusieurs de ses obligations en matière de durées de conservation et de sécurité des données personnelles, la CNIL sanctionne la société Discord Inc. pour des manquements similaires.
Cette nouvelle sanction, qui se traduit ici par le prononcé d’une amende d’un montant de 800.000 euros, vient confirmer l’attention accrue de la CNIL au respect du principe de proportionnalité des durées de conservation.
Des précisions bienvenues sur la conservation de comptes inactifs
La CNIL fait état de nombreux comptes inactifs sur la base de données de la société américaine. En effet, les données de près de 2 millions d’utilisateurs français n’ayant pas utilisé leur compte depuis plus de trois ans, cinq ans dans certains cas, auraient été conservées sans en informer les personnes concernées.
La plateforme a non seulement fait défaut à l’article 5.1 e) RGPD qui prévoit une conservation des données personnelles « pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées » mais également à son obligation d’information issue de l’article 13 du même règlement. En effet, la société américaine aurait dû prévoir, conformément à la règlementation en vigueur, une politique écrite de conservation des données afin d’éclairer au mieux les utilisateurs sur le sort de leurs données.
En réaction au contrôle de la CNIL, Discord a mis en œuvre une politique interne prévoyant la suppression automatique des comptes inactifs après deux ans d’inactivité de l’utilisateur.
Attention à la fermeture effective des applications
Une particularité de l’application a également attiré l’attention de la CNIL : le clic par l’utilisateur sur le bouton rouge « X » apparaissant en haut à droite de l’écran n’a pas pour effet de fermer l’application, mais seulement de la mettre en arrière-plan. La CNIL estime en ce sens que Discord a manqué au principe de Privacy by design issu de l’article 25.2 RGPD en ce que les utilisateurs n’étaient aucunement avertis de particularité, pourtant majeure, et pouvaient alors continuer à être entendus par les autres utilisateurs dans le salon vocal. Force est de constater que cette fonctionnalité se heurte aux principes de loyauté et de transparence vis-à-vis des utilisateurs.
La société a désormais remédié à cette situation par la mise en place d’une fenêtre pop-up venant informer les utilisateurs de cette spécificité.
Des mots de passe insuffisants
En cohérence avec sa dernière recommandation relative aux mots de passe en date du 17 octobre 2022, la CNIL a également sanctionné les exigences fixées par Discord en matière de création de mot de passe par les utilisateurs, Discord n’astreignant ces derniers qu’à une série de 6 chiffres et lettres, manifestement insuffisante pour garantir la sécurité des comptes des utilisateurs.
En réaction, la société a augmenté à 8 le nombre de caractères minimum et exige désormais qu’au moins trois des quatre catégories de caractères soient utilisées. La résolution d’un captcha après dix tentatives de connexion ratées sera également exigée[1].
L’absence de réalisation d’analyse d’impact
Enfin, la CNIL confirme la fin de la période de tolérance en matière d’analyse d’impact et déplore l’absence de réalisation d’une PIA par Discord, tant au regard du volume de données traité, qu’en raison de l’utilisation de la plateforme par de nombreux mineurs.
Les analyses d’impact réalisées sur les services essentiels de l’entreprise, au cours de la procédure de contrôle, ont cependant conclu à une absence de risque élevé pour les droits et libertés des utilisateurs.
***
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne les acteurs du numérique dans leur conformité à la règlementation relative à la protection des données personnelles et aux cookies. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocat fiable. Pour nous contacter, cliquez ici
[1] Pour en savoir plus à ce sujet, voir notre article : Comment mettre en œuvre une politique de mot de passe efficace ?
