La CNIL sanctionne la société DISCORD INC à hauteur de 800 000 euros
La société américaine Discord INC a été, le 10 novembre 2022, condamnée par la CNIL à payer une amende à hauteur de 800 000 euros. En effet, la « formation restreinte », en charge de prononcer les sanctions, a considéré, sur la base des constatations effectuées lors des contrôles, que « la société avait manqué à plusieurs obligations prévues par le règlement général sur la protection des données ».
Cela est arrivé malgré que la société éditrice de l’application discord (un logiciel de VoIP et de messagerie instantanée), ait réalisé, au cours de la procédure lancée par la commission nationale de l’informatique et des libertés, de réels efforts pour être conforme au RGPD. L’organisme en charge de prononcer les sanctions a cependant précisé qu’il avait pris en compte les mesures mises en place, mais aussi le modèle d’affaires du concerné, pour prendre sa décision.
Une sauvegarde des données non justifiée
Il y avait tout d’abord, parmi les fautes observées, un manquement à l’obligation de définir et de respecter une durée de conservation des données adaptée à l’objectif visé (article 5.1.e du RGPD). En effet, la CNIL a constaté, lors de sa procédure de contrôle, que l’entreprise ne disposait pas d’une politique écrite de conservation des données. Ainsi, elle a relevé que les données de 2 474 000 comptes d’utilisateurs français inactifs depuis plus de trois ans et de 58 000 comptes non utilisés depuis plus de 5 ans, étaient conservées.
Suivant cette première entorse au RGPD, l’organisme de contrôle avait constaté un manquement à l’obligation d’information (article 13 du RGPD). Les utilisateurs ne disposaient d’aucun élément leur permettant de déterminer la durée de conservation des données.
Il est important de notifier que la société est dorénavant conforme au RGPD sur ces points. Une politique écrite de conservation des données a été rédigée, stipulant que les comptes doivent être supprimés après une inactivité de deux ans. L’information, quant à elle, est maintenant précise pour l’utilisateur.
Une application toujours active malgré sa fermeture
La CNIL avait ensuite observé un manquement à l’obligation de garantir la protection des données par défaut (article 25.2 du RGPD), et ce, en raison du comportement de l’application lorsque l’on appuie sur le bouton « X ». Effectivement, alors que sous Microsoft Windows, le bouton « X » permet de quitter la majorité des applications, sur la plateforme Discord, ce même bouton ne fait en réalité, que mettre l’application en arrière-plan et laisse l’utilisateur connecté. Par conséquent, lorsque ce dernier pense quitter un salon vocal, il reste, en réalité, connecté à celui-ci et peut être entendu par les autres membres présents. La « formation restreinte » a considéré que la société devait, dans ce cas précis, notifier à l’utilisateur que « ses paroles continuaient à être transmises et entendues par des tiers »
Pour répondre à cette demande, DISCORD INC a mis en place une fenêtre « pop-up », apparaissant lorsque l’application est mise en arrière-plan pour la première fois. Celle-ci informant les utilisateurs qu’ils sont toujours connectés à un salon vocal.
Une politique de mot de passe insuffisante
La CNIL avait, lors de ses contrôles, considéré qu’il y avait un manquement à l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD) en raison de la politique de gestion des mots de passe de la société. En effet, lors de la création d’un compte, un mot de passe composé de six caractères incluant des lettres et des chiffres était accepté, ne garantissant pas une sécurité suffisante.
Une insuffisance à laquelle la société a répondu en exigeant, de ses utilisateurs, un mot de passe plus élaboré.
Une absence d’analyse d’impact relative à la protection des donnée
Enfin, compte tenu du fait que l’entreprise n’avait pas jugé nécessaire de réaliser une analyse d’impact relative à la protection des données, un manquement à l’article 35* du RGPD a été retenu. La « formation restreinte » ayant jugé, étant donné le volume de données traitées, qu’elle était nécessaire. DISCORD INC avait une fois de plus, pris en compte au cours de la procédure, ce qui lui était demandé, réalisant deux analyses d’impact qui « ont conclu que le traitement n’est pas susceptible d’engendrer un risque élevé pour les droits et libertés des personnes ».
Il est assez inquiétant, de surcroît lorsque l’on est utilisateur, de s’apercevoir qu’une plateforme aussi utilisée présente des manquements au RGPD de la sorte. Nous pouvons légitimement nous interroger sur la manière dont les applications de notre quotidien traitent nos données personnelles et les mesures qu’elles mettent en place pour les protéger.
Cependant, la CNIL veille pour protéger nos droits et n’hésite pas, lorsque cela est nécessaire, à sanctionner les entreprises présentant des manquements au règlement général sur la protection des données. Pour ne être visé par ces dernières, il est indispensable de faire appel à un professionnel, proposant un service de mise en conformité au RGPD. Les organismes publics ainsi que les entreprises privées, lorsqu’elles traitent des données sensibles ou effectuent du profilage à grande échelle, doivent nommer un DPO externe à la structure ou interne à celle-ci (Délégué à la Protection des données).
Pour aller plus loin :