NOUVELLE SANCTION DE LA CNIL CONTRE UNE SOCIETE AMERICAINE
Dans sa délibération du 10 novembre 2022, la CNIL a prononcé une amende de 800 000 euros à l’encontre de la société DISCORD Inc, laquelle ne dispose pas d’établissement en Europe.La CNIL a considéré que cette société, qui propose un service de messagerie instantanée et de discussion via microphone et/ou webcam, avait manqué à plusieurs obligations prévues par le RGPD.
● Sur la durée de conservation et l’obligation d’information à ce sujet, DISCORD a indiqué ne pas avoir de politique écrite. Or, la CNIL a constaté que plusieurs millions de comptes inactifs depuis plus de trois ans étaient toujours dans la base de données de DISCORD. DISCORD s’est mis en conformité dans le cours de la procédure.
● La CNIL constate également un manquement à l’obligation de garantir la protection des données par défaut. En effet, le fait de cliquer sur « X », censé fermer l’application sur Windows, ne faisait en réalité que la mettre en arrière-plan. Cela pouvait conduire à ce que des utilisateurs soient entendus par les autres membres présents dans le salon vocal alors qu’ils pensaient l’avoir quitté. Dans le cadre de la procédure, la société a mis en place une fenêtre « pop-up » pour alerter les utilisateurs.
● Par ailleurs, la création d’un compte nécessitait de choisir un mot de passe pour lequel n’étaient imposés que six caractères incluant lettres et chiffres. Pour la CNIL, cette politique ne permettait pas de garantir la sécurité des comptes des utilisateurs. Désormais, la société exige un mot de passe comportant huit caractères, avec au moins trois des quatre catégories de caractères et la réalisation d’un captcha après dix tentatives de connexion non abouties.
● Enfin, la CNIL constate qu’aucune analyse d’impact n’a été réalisée alors que la société traite un volume important de données, notamment d’utilisateurs mineurs.
Compte tenu des manquements retenus, du nombre de personnes concernées et en tenant compte des efforts réalisés par DISCORD pour se mettre en conformité et du fait que son modèle n’est pas fondé sur l’exploitation des données, la CNIL prononce une amende de 800 000 euros.
