Amende CNIL de 800.000€ pour la société Discord
France > Droit privé > CNIL > Protection des données personnelles
Florence IVANIER, Avocat associé,
Cabinet Aurele IT
Data Protection Officer
Le 22 Novembre 2022
Retour sur la sanction prononcée par la CNIL le 10 novembre à hauteur de 800.000 € à
l’encontre de la société Discord, éditrice de la solution de voix sur IP la plus utilisée par les
joueurs de jeux vidéo, permettant à ses utilisateurs de discuter via une messagerie instantanée
et des salons vocaux.
Cette délibération, riche d’enseignements est la première sanction prononcée en matière de voix sur IP.
Classiquement, l’éditeur est sanctionné au visa des articles 5.1 et 13 du RGPD pour non-respect des durées de conservation et défaut d’information sur ces durées et au visa de l’article 32 du RGPD, pour manquement à la sécurité du fait de l’absence de robustesse de la politique de mot de passe.
Plus notablement , le régulateur retient un manquement à l’obligation de garantir la protection des données par défaut (« privacy by default »), au visa de l’article 25.2 du RGPD.
Il s’agit là d’une tendance désormais récurrente de sanction du défaut de « privacy by design & by default » que nous avons commentée dans un article paru dans la revue Expertises de ce mois de novembre 2022.
En effet, le logiciel développé sous le système d’exploitation Windows restait toujours 𝗲𝗻 𝗰𝗼𝘂𝗿𝘀 𝗱’𝗲𝘅𝗲́𝗰𝘂𝘁𝗶𝗼𝗻 même lorsque l’utilisateur fermait la fenêtre Windows, de sorte que l’utilisateur restait connecté à l’application, maintenue en arrière-plan et notamment au salon vocal qui était toujours actif, sa voix étant toujours diffusée. Et ce alors qu’aucune notification n’était portée à l’attention de l’utilisateur.
Est encore relevé un manquement à l’obligation d’effectuer une analyse d’impact relative à la protection des données.
Rappelons qu’une analyse d’impact est rendue obligatoire dès lors qu’un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes.
La CNIL a considéré qu’au regard du volume de données traitées et de l’utilisation des services par des mineurs, le traitement entrait dans les critères nécessitant la réalisation d’une AIPD.
On notera que le traitement porte sur la voix, qui est une donnée biométrique, ce qui augmente la sensibilité du traitement.