Nouvelle discorde entre la CNIL et une société américaine
Ce 10 novembre 2022, la CNIL a prononcé une sanction à l’encontre de DISCORD INC, une société d’origine californienne qui dispose d’un public international, notamment français.
Si vous ne connaissez pas l’organisme, DISCORD INC se présente comme une plateforme où ses utilisateurs peuvent se rencontrer, tchater ; un endroit où il est facile de se retrouver pour discuter tous les jours.
Comme le présente la CNIL, « DISCORD » est en fait « un service de voix sur IP (technologie qui permet aux utilisateurs de discuter via leur microphone et/ou leur webcam via Internet) et de messagerie instantanée, dans laquelle les utilisateurs peuvent créer des serveurs, des salons textuels, vocaux et vidéos. »
Le RGPD s’applique-t-il à DISCORD INC ?
Oui ! La société est américaine mais vise bien un public européen et traite les données à caractère personnel de ce public.
Pour rappel, l’article 3§2 du RGPD, qui dispose que “Le présent règlement s’applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées […] à l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes […] “.
En ce sens, DISCORD INC proposant plusieurs services à des personnes concernées situées sur le territoire de l’Union européenne, la société doit bien respecter le RGPD.
Pourquoi la CNIL est-elle compétente ?
Il est rappelé dans la délibération SAN-2022-020 du 10 novembre 2022 que la société DISCORD INC ne dispose pas d’établissement sur le territoire de l’Union européenne. De fait, conformément à l’article 27 du RGPD, cette dernière a désigné un représentant sur le territoire de l’UE : la société irlandaise VERASAFE.
Alors pourquoi n’est-ce pas l’autorité de contrôle irlandaise qui a agi ?
Dans les faits, on peut noter tout d’abord que la CNIL s’est focalisée sur le traitement de données de personnes situées sur le territoire français ; c’est-à-dire là où la CNIL est territorialement compétente, et ce, en application de l’article 55§1 du RGPD.
De plus, comme cela est exposé dans la délibération et comme noté ci-dessus, la société américaine ne dispose pas d’établissement sur le territoire de l’Union européenne. Cela a pour effet d’exclure le mécanisme de guichet unique prévu à l’article 56 du RGPD. La CNIL n’agit donc pas ici en tant qu’autorité chef de file (on vous avait présenté le sujet ici) mais plus simplement en tant qu’autorité territorialement compétente.
Cela signifie d’ailleurs que les traitements de données à caractère personnel de la société DISCORD pourraient bien faire l’objet d’autres contrôles de la part des autres autorités de contrôle présentes sur le territoire de l’Union européenne.
Quels sont les éléments sanctionnés par la CNIL ?
Dans l’article publié de la CNIL ainsi que dans la délibération, les faits sanctionnés ne sont pas « surprenants » ou « nouveaux ». Il s’agit pour beaucoup, de faits régulièrement sanctionnés par la CNIL : défaut de transparence, non-respect de certains droits, défaut de sécurité… On peut lire les mêmes reproches dans des sanctions précédentes de la CNIL.
Mais alors pourquoi diable cette sanction nous intéresse-t-elle au point d’en faire un article ?
Cette sanction apporte quelques précisions intéressantes sur différents manquements.
- En matière de durées de conservation :
Il était reproché à l’organisme de ne pas avoir fixé de durées de conservation et, également, qu’étaient conservés 2 474 000 comptes d’utilisateurs français n’ayant pas utilisé leur compte depuis plus de trois ans et 58 000 comptes non utilisés depuis plus de cinq ans.
Pour corriger ce défaut, la société dispose désormais d’une politique écrite de durée de conservation des données, qui prévoit notamment la suppression des comptes après deux ans d’inactivité de l’utilisateur.
Les organismes proposant des services similaires à ceux de DISCORD INC pourraient donc s’appuyer sur cette jurisprudence pour établir leurs propres durées de conservation. En outre, on pourra retenir qu’il est pertinent d’établir un écrit sur ces durées de conservation (référentiels de durées de conservation, procédure d’archivage, procédure de suppression, etc.)
- En matière de sécurité :
Ici regroupons plusieurs éléments :
- La CNIL reprochait le non-respect du principe de privacy by default, ce qui fait plaisir à nos petits cœurs de juristes parce que c’est rare de voir des reproches spécifiques sur ce point ! D’ailleurs, on vous a déjà présenté son concept parent, le privacy by design, ici.
Sur ce point on se contentera de rappeler qu’il est primordial d’assurer une protection de la vie privée par défaut : c’est-à-dire en mettant en place des mesures automatisées qui éviteront d’avoir systématiquement à agir pour activer cette protection en tant qu’utilisateur, mais aussi en tant que responsable de traitement ou de sous-traitant. Comme dit le fameux dicton : mieux vaut prévenir que guérir.
- Quelque chose qu’on voit encore plus rarement : le reproche lié au défaut de réalisation d’étude d’impact (PIA).
Il est parfois délicat de déterminer s’il est obligatoire de réaliser une étude d’impact ou non. La CNIL a ici tranché : les traitements de données de DISCORD INC pouvant inclure des enfants (personnes vulnérables) et un très grand nombre de données (large échelle) doivent être soumis à étude d’impact. La société a d’ailleurs commencé deux études d’impact pour corriger ce défaut.
Cet élément montre bien que l’obligation de mener une PIA n’est plus une obligation secondaire aux yeux de l’autorité de contrôle française, et, qu’il ne faut plus attendre pour les mener quand elles sont obligatoires. Sans oublier que la CNIL et les autres autorités de contrôle européennes ont fourni de nombreuses ressources pour faciliter cet exercice. Alors, n’attendez pas que la CNIL vienne frapper à votre porte pour vous dire qu’il est temps de faire une PIA 😉 !
Enfin, un dernier élément qu’on peut noter c’est que la sanction de DISCORD reste pécuniaire malgré sa participation et sa réactivité à la suite du contrôle de la CNIL. Comme quoi, on n’est jamais entièrement à l’abri d’une sanction de cette dernière : donc là encore, n’attendez pas qu’elle vienne sanctionner vos défauts de conformité !
On en restera là sur cette sanction, même si l’on pourrait encore creuser le sujet… Et vous ? Qu’est-ce qui a retenu votre attention dans cette sanction ? N’hésitez pas à partager vos réactions !
Sources