Actus

Internet & Data

Pomme de DISCORD – Quand la réglementation en matière de données personnelles n’est pas respectée

Actualité

Succédant à CLEARVIEW AI, c’est désormais au tour de la société DISCORD INC. de s’attirer les foudres de la Commission Nationale de l’Informatique et des Libertés (CNIL).
Par délibération du 10 novembre 2022, la CNIL a ainsi prononcé une sanction administrative de 800.000 euros, rendue publique, à l’encontre de la société américaine pour divers manquements à des obligations clés en matière de protection des données.

Pour rappel, la société DISCORD INC. a créé en 2015 sa propre plateforme de communication multicanaux (chat vidéo, vocal et textuel). Cette dernière, initialement plébiscitée par des internautes friands de jeux vidéo, s’est progressivement étendue à d’autres communautés d’utilisateurs en recherche de services de VoIP et de messagerie instantanée « tout-en-un », intéressées par des domaines variés tels que les arts, la musique, les sciences ou encore l’éducation et la formation.
Cette notoriété confère ainsi à la plateforme Discord une place de choix parmi les services de messagerie les plus populaires au monde, notamment auprès des 15-24 ans. 

A l’occasion d’un contrôle en ligne visant le site www.discord.com et l’application mobile homonyme, suivi d’un contrôle sur pièces, effectués tous deux en fin d’année 2020, la CNIL a constaté plusieurs irrégularités à la Loi Informatique et Libertés n° 78-17 du 6 janvier 1978 et au Règlement Général sur la Protection des Données 2016/679 du 27 avril 2016, parmi lesquels :

  • une conservation excessive des données des utilisateurs de la plateforme (absence de politique écrite et de procédures internes en matière de conservation des données) et une information lacunaire des personnes concernées quant aux traitements de données opérés (absence d’information relative aux durées de conservation) ;
  • un fonctionnement du service « trompeur » pour ses utilisateurs et non conforme à la protection des données by design (exécution persistance du service en arrière-plan, sans information de l’utilisateur, malgré la fermeture de la fenêtre active de la plateforme Discord) ;
  • une insuffisance des mesures de sécurité destinées à prévenir les risques de compromission de données, auxquels la plateforme Discord est exposée (faiblesse de la structure des mots de passe requis et absence de mesures de sécurité complémentaires) ;
  • une négligence dans la protection des droits et des libertés des utilisateurs de la plateforme (absence de réalisations d’analyses d’impact sur la protection des données en dépit de la forte représentativité de mineurs parmi les nombreux utilisateurs du service).

Malgré une mise en conformité opérée a posteriori et validée par la CNIL, la société DISCORD INC. n’a pas pu échapper à la sanction prononcée par la formation restreinte de la Commission et à sa décision de la rendre publique :

  • le montant de l’amende (800.000 euros, pour rappel), qui s’est  voulu « dissuasif et proportionné », a été évalué en fonction de l’activité et de la situation financière de la société DISCORD INC., de son modèle économique mais aussi des efforts de coopération et de mise en conformité déployés par la société, tout au long de la procédure ;
  • la publicité de la sanction a quant à elle été actée en raison du nombre de personnes concernées ainsi que du nombre de manquements commis et de leur gravité.

Cette actualité constitue une double piqûre de rappel.

D’une part, quant à l’impérieuse nécessité de veiller à une conformité by design de ses traitements de données personnelles : la conformité doit être de mise dès les prémices des traitements.

D’autre part, quant à l’indispensable actualisation des modalités et des moyens de ses traitements, au regard des pratiques de l’état de l’art, des recommandations en vigueur mais aussi de l’évolution de ses activités et de la volumétrie des données concernées.

Ainsi une nouvelle finalité de traitement, un transfert de données à un nouveau sous-traitant, un nombre croissant de données traitées, une évolution des normes de sécurité applicables ou encore une augmentation / diversification des actes malveillants ou des tentatives d’intrusion sont autant de signes qui doivent attirer l’attention et amener à réexaminer, d’un œil averti, leur conformité à la règlementation applicable à la protection des données à caractère personnel.

Pour toute question ou accompagnement face à ces démarches, l’équipe de Plasseraud IP Internet & Data est à votre disposition.

 

Partager sur :