Les actualités

RETOUR

Publications

23/11/2022

La sanction de 800 000 euros de la CNIL à l’encontre de Discord

Par délibération du 10 novembre 2022, la formation restreinte de la CNIL a prononcé une amende administrative de 800 000 euros à la société DISCORD pour divers manquements au RGPD.

Discord est une société américaine proposant des services de voix sur IP et de messagerie instantanée.
Suite à un contrôle de la CNIL, elle a été sanctionnée à hauteur de 800 000 euros.

Les manquements constatés par la CNIL sont les suivants :

Le manquement à l’obligation de définir et de respecter une durée de conservation des données proportionnée à la finalité du traitement

Visant l’article 5§1 du RGPD, la CNIL observe que Discord n’avait pas défini de politique écrite de conservation des données et constate que les données de certains utilisateurs français étaient conservées alors même que les comptes n’avaient pas été utilisés depuis 3 à 6 ans.

La Commission recommande ici que les comptes soient considérés comme inactifs au bout de deux ans et soient supprimés à l’issue de ce délai, sauf si l’utilisateur exprime le souhait de maintenir son compte actif.

La CNIL en profite pour rappeler que l’article 5 du RGPD est une disposition impérative et la conservation de comptes inactifs au-delà de cette durée conduit à conserver des données de manières illimitée, en méconnaissance de cet article.

Le manquement à l’obligation d’information des personnes.

La CNIL constate par ailleurs que Discord a exprimé des durées de conservation de manière générique, sans être suffisamment explicite. L’information fournie aux utilisateurs ne comportait ni durée précise, ni critère permettant de déterminer ces durées.

Ce faisant, Discord a donc méconnu ses obligations en vertu de l’article 13 du RGPD.

Le manquement à l’obligation de garantir la protection des données par défaut.

Conformément à l’article 25§2 du RGPD le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées.

Cependant l’application Discord est paramétrée de sorte qu’elle reste active lorsque l’utilisateur ferme la fenêtre principale. En conséquence, les utilisateurs pouvaient être entendus par d’autres présents dans le salon vocal alors qu’ils pensaient l’avoir quitté.

La CNIL considère que ce paramétrage par défaut de l’application conduit à ce que des données à caractère personnel de l’utilisateur puissent être communiquées à des tiers sans qu’il en ait nécessairement conscience. Elle considère de plus qu’un tel paramétrage, en l’absence d’information suffisamment claire et visible, présente des risques importants pour les utilisateurs et constitue une violation de l’article 25 du RGPD.

La CNIL prend cependant acte que Discord a depuis mis en place une fenêtre pop-up permettant, lorsque la fenêtre a été fermée pour la première fois, d’alerter les personnes connectées à un salon vocal de ce que l’application est toujours en cours de fonctionnement et que ces paramètres peuvent directement être modifiés par l’utilisateur.

Le manquement à l’obligation d’assurer la sécurité des données

L’article 32 du RGPD impose au responsable du traitement et au sous-traitant de mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque.

La CNIL relève qu’à la création d’un compte Discord, un mot de passe composé de six caractères incluant des lettres et des chiffres était accepté. Ce mot de passe n’étant accompagné d’aucune mesure de sécurité complémentaire et ne permettant pas d’assurer la sécurité des données, la CNIL relève la nécessité d’un mot de passe fort et se réfère pour cela à la délibération de la CNIL du 19 janvier 2017 qui recommande que le mot de passe comporte au minimum huit caractères, contenant au moins trois des quatre catégories de caractères.

Elle en conclue qu’il y a manquement à l’article 32 du RGPD dès lors que la politique de gestion des mots de passe de la société n’est pas suffisamment robuste et contraignante pour garantir la sécurité des données. Elle relève néanmoins que dans le cadre de la procédure de sanction, la société a apporté des modifications sur ce point et s’est mise en conformité avec les dispositions de l’article 32.

Sur le manquement à l’obligation d’effectuer une analyse d’impact relative à la protection des données.

L’article 35§1 du RGPD impose la réalisation d’une analyse d’impact dès lors que le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes.

La CNIL a considéré que les traitements mis en œuvre par la Discord étaient susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques dès lors que :

Discord met en œuvre, en France, un traitement de données à caractère personnel à grande échelle.
Discord à vocation à être utilisé par des enfants qui peuvent être vus comme incapables de s’opposer ou de consentir sciemment et de manière réfléchie au traitement de leurs données.

Dès lors, l’absence de réalisation d’une analyse d’impact par la société constitue une violation à l’article 35 et au considérant 91 du RGPD.

Sanction. Au vu de ces éléments la formation restreinte prononce une amende administrative de 800 000 euros à l’encontre de Discord.

Le montant de cette sanction prend en compte les efforts réalisés par la société pour se mettre en conformité tout au long de la procédure et tient compte du fait que le modèle d’affaires de Discord n’est pas fondé sur l’exploitation des données personnelles.

Pour en savoir plus :  

Délibération de la formation restreinte de la CNIL en date du 10 novembre 2022

Avocat

L'équipe

Cookie	Durée	Description
cookielawinfo-checkbox-advertisement	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Publicité".
cookielawinfo-checkbox-analytics	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Analytics".
cookielawinfo-checkbox-necessary	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Nécessaire".
cookielawinfo-checkbox-others	1 an	Ce cookie est défini par le plugin GDPR Cookie Consent. Le cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie "Autres".
cookielawinfo-checkbox-performance	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie "Performance".
viewed_cookie_policy	1 an	Le cookie est défini par le plugin GDPR Cookie Consent pour stocker si l'utilisateur a consenti ou non à l'utilisation de cookies. Il ne stocke aucune donnée personnelle.
_GRECAPTCHA	5 mois 27 jours	Ce cookie est défini par le service Google recaptcha pour identifier les robots afin de protéger le site Web contre les attaques de spam malveillantes.

Cookie	Durée	Description
CONSENT	16 ans	Ces cookies sont définis via des vidéos youtube intégrées. Ils enregistrent des données statistiques anonymes sur par exemple combien de fois la vidéo est affichée et quels paramètres sont utilisés pour la lecture. Aucune donnée sensible n'est collectée sauf si vous vous connectez à votre compte google, dans ce cas vos choix sont liés à votre compte, par exemple si vous cliquez sur « j'aime » sur une vidéo.
_ga	2 ans	Le cookie _ga, installé par Google Analytics, calcule les données des visiteurs, des sessions et des campagnes et assure également le suivi de l'utilisation du site pour le rapport d'analyse du site. Le cookie stocke des informations de manière anonyme et attribue un numéro généré de manière aléatoire pour reconnaître les visiteurs uniques.
_gid	1 jour	Installé par Google Analytics, le cookie _gid stocke des informations sur la façon dont les visiteurs utilisent un site Web, tout en créant également un rapport d'analyse des performances du site Web. Certaines des données collectées incluent le nombre de visiteurs, leur source et les pages qu'ils visitent de manière anonyme.

Cookie	Durée	Description
IDE	1 an 24 jours	Le cookie est défini par le consentement des cookies GDPR pour enregistrer le consentement de l'utilisateur pour les cookies dans la catégorie « Fonctionnel ».
test_cookie	15 minutes	Le test_cookie est défini par doubleclick.net et est utilisé pour déterminer si le navigateur de l'utilisateur prend en charge les cookies.
VISITOR_INFO1_LIVE	5 mois 27 jours	Cookie défini par YouTube pour mesurer la bande passante qui détermine si l'utilisateur obtient la nouvelle ou l'ancienne interface du lecteur.
YSC	session	Le cookie YSC est défini par Youtube et est utilisé pour suivre les vues des vidéos intégrées sur les pages Youtube.
yt-remote-connected-devices	jamais	YouTube définit ce cookie pour stocker les préférences vidéo de l'utilisateur utilisant la vidéo YouTube intégrée.
yt-remote-device-id	jamais	YouTube définit ce cookie pour stocker les préférences vidéo de l'utilisateur utilisant la vidéo YouTube intégrée.

Cookie	Durée	Description
45342b9b1e	session	Pas de description
cookielawinfo-checkbox-functional	1 an	Le cookie est défini par le consentement des cookies GDPR pour enregistrer le consentement de l'utilisateur pour les cookies dans la catégorie « Fonctionnel ».

La sanction de 800 000 euros de la CNIL à l’encontre de Discord

L'ÉQUIPE

AdrienMorisse

JoséphineLenglart Frémont

VictoriaLafite

LucileHerpoux

LucasDallongeville

FrédériqueAllier

Elise Dufour

Christophe Fichet

Benjamin Mourot

GuylaineLombard

La sanction de 800 000 euros de la CNIL à l’encontre de Discord

Adrien
Morisse

Joséphine
Lenglart Frémont

Victoria
Lafite

Lucile
Herpoux

Lucas
Dallongeville

Frédérique
Allier

Elise
Dufour

Christophe
Fichet

Benjamin
Mourot

Guylaine
Lombard