DISCORD INC. condamnée à une amende de 800 000 euros pour manquement aux règles du RGPD

1 décembre 2022

Nombre de lecture :

DISCORD INC, condamnée à une amende de 800 000 euros pour manquement aux règles du RGPD

Depuis quelques années, la CNIL (Commission nationale de l’informatique et des libertés) s’attache intensément à sanctionner les violations du RGPD (Règlement général sur la protection des données) en matière de protection des données personnelles. En effet, les applications mobiles étant un moyen privilégié d’accès à des données numériques, il convient de se pencher attentivement sur les potentielles dérives et abus des entreprises « un peu trop gourmandes sur la collecte de données personnelles ».

C’est dans ce prolongement que la plateforme DISCORD, dont le siège social est situé aux Etats-Unis, a été condamnée le 10 novembre 2022 par la CNIL à une amende de 800 000 euros pour non-respect des règles du RGPD relatives à la conservation et la protection des données personnelles.

La sanction de divers manquements en matière de durée de conservation et de sécurité des données personnelles

Comme de nombreuses autres applications mobiles, Discord est une plateforme très appréciée des amateurs de jeux vidéos permettant aux utilisateurs de créer différents serveurs et salons vocaux. cette dernière est donc tenue au règles du RGPD pour protéger les données de ses nombreux utilisateurs, estimés à plus de 300 millions en 2021.

La CNIL a, au terme de divers contrôles en ligne, condamné la société DISCORD pour 5 manquements en matière de conservation et de sécurité des données personnelles des utilisateurs :

  • Manquement à l’obligation de définir et respecter une durée de conservation des données (article 5.1.e RGPD) ;
  • Manquement à l’obligation d’information (article 13 RGPD) ;
  • Manquement à l’obligation de protection des données par défaut (article 25.2 RGPD) ;
  • Manquement à l’obligation de sécurité des données personnelles (article 32 RGPD) ;
  • Enfin, manquement à l’obligation de réaliser une analyse d’impact relative à la protection des données (article 35 RGPD).

De façon plus concrète, il lui est reproché son absence de politique écrite relative à la durée de conservation des données, une politique de gestion des mots de passe insuffisamment contraignante et robuste (exigeait seulement 6 chiffres ou lettres), ou encore le maintien de l’application en arrière-plan y compris après que l’utilisateur clique sur le bouton “X” en haut à droite pour fermer la fenêtre. En effet, la CNIL reproche à Discord de ne pas avoir informé les utilisateurs que l’application continuait de fonctionner y compris après avoir cliqué sur le bouton “X” , ce bouton signifiant en réalité la fermeture de la fenêtre mais non la fermeture de l’application ni du salon vocal. Cela générait alors le risque pour un utilisateur d’être maintenu sur écoute dans la croyance erronée qu’il ne l’était plus, portant ainsi une atteinte considérable à sa vie privée.

C’est donc au regard de l’important risque d’atteinte à la vie privée et la protection insuffisante des données personnelles des utilisateurs, que Discord a été condamnée à une amende de 800 000 euros. En réalité, ce montant a été fixé en prenant en considération les infractions constatées, le nombre de personnes impliquées, et a été largement réduit grâce à la prise en compte des importants efforts réalisés par la société pour s’y conformer tout au long de la procédure.

Une véritable volonté de se conformer aux exigences du RGPD : la reconnaissance par la CNIL des efforts réalisés

En réalité, la CNIL a relevé que Discord s’était efforcé de modifier ses paramètres pour se mettre en conformité. La plateforme a manifesté sa volonté de coopérer avec la CNIL pour assurer une meilleure protection des données personnelles. Un porte-parole de la CNIL affirmait à cet égard “nous mettons continuellement à jour notre produit et nos politiques”.

En effet, plusieurs modifications ont déjà été opérées :

  • La plateforme a d’ores-et-déjà mis en place une politique écrite relative à la durée de conservation des données, prévoyant la suppression des comptes au-delà de 2 ans d’inactivité de l’utilisateur ;
  • A crée une fenêtre “pop up” destinée à avertir l’utilisateur lorsque ce dernier est toujours connecté sur le salon vocal ;
  • A rendu plus contraignants les mots de passe, en exigeant désormais 8 caractères minimum avec au moins 3 catégories différentes de caractère (minuscule, majuscule, chiffres, caractères spéciaux) ;
  • Enfin, Discord a procédé à deux analyses d’impact, ces dernières ayant démontré que le traitement est insusceptible de générer un risque élevé pour les droits et libertés des personnes .

Un bilan qui, quelques jours seulement après sa condamnation, semble déjà très positif.

Vous n’avez pas eu la réponse à votre question ? Posez nous votre question !

Cet article vous a plu :

Formations

Pré-commande formation investissement immobilier
Pré-commande formation santé et sécurité au travail

Avocats

Par Louise Denoyes

Étudiante en droit à l’université Paris 1, je suis passionnée d’écriture depuis mon plus jeune âge et éprouve un fort intérêt pour le droit des affaires.

Formez-vous avec UYL

Formation investissement immobilier
Formation Cryptomonnaies UYL
Formation santé et sécurité au travail

Derniers articles UYL

Refuser de déverrouiller son téléphone, est-ce une infraction pénale ?

Refuser de déverrouiller son téléphone, est-ce une infraction pénale ?

C’est à cette question qu’a répondu l’assemblée plénière de la Cour de cassation dans un arrêt rendu le 7 novembre 2022. Une position de la Cour qui semble pencher pour la positive. Fiche de l'arrêt du 7 novembre 2022 Faits de l'affaire Dans les faits, une personne a...