Pour pouvoir contrôler le réseau social particulièrement populaire auprès du jeune public fourni par la société Discord Inc., la formation restreinte de la CNIL a d’abord dû établir sa compétence à l’égard des traitements transfrontaliers de données personnelles ainsi mis en œuvre. Or, en l’absence d’établissement de la société sur le territoire d’un État membre de l’Union européenne, le mécanisme du « guichet unique » prévu par l’article 56 du règlement général sur la protection des données (RGPD), ne peut pas s’appliquer. Chaque autorité de contrôle nationale est dès lors compétente pour contrôler le respect du RGPD sur le territoire de l’État membre dont elle relève. Aussi la formation restreinte de la CNIL est-elle compétente pour contrôler la conformité au RGPD de ces traitements en ce qu’ils visent des personnes résidant sur le territoire français.

Gestion d'entreprise

La gestion d’entreprise constitue l’essentiel de l’activité d’un dirigeant d’entreprise. Elle fait appel à un grand nombre de notions empruntées de la comptabilité, de la finance (gestion des risques au moyen de la gestion des actifs et des assurances professionnelles), du droit des affaires (statut juridique, contrats commerciaux, fiscalité, cadre réglementaire et légal de l’activité), de la gestion de ressources humaines...

Découvrir tous les contenus liés

Des manquements ordinaires tenant à la durée de conservation et à la sécurité des données

D’une part, la formation restreinte de la CNIL observe que la société Discord Inc. n’avait pas défini de politique de durée de conservation, ce qui constitue un manquement à l’obligation, prévue par l’article 5, § 1, e) du RGPD, de définir et de respecter une durée de conservation des données proportionnée à l’objectif visé mais aussi un manquement à l’obligation de transparence prévue par l’article 13 du RGPD. Mais la société dispose désormais d’une politique écrite de durée de conservation des données (suppression des comptes après deux ans d’inactivité de l’utilisateur) accessible en français.

EGAlim : vers des négociations commerciales équilibrées avec les agriculteurs

Je télécharge gratuitement

D’autre part, elle relève une politique de gestion des mots de passe insuffisamment robuste et contraignante pour garantir la sécurité des comptes des utilisateurs, ce qui constitue un manquement à l’obligation d’assurer la sécurité des données personnelles prévue à l’article 32 du RGPD. Conformément à la doctrine bien établie de la CNIL et de l’ANSSI quant aux mots de passe, la société impose désormais des exigences de longueur et de complexité (huit caractères minimum, avec au moins trois des quatre catégories de caractères) et des mécanismes de vérification après plusieurs tentatives de connexion (résolution d’un captcha).

Le manquement tenant à l’absence l’analyse d’impact relative à la protection des données

La formation restreinte estime que la société aurait dû procéder à une analyse d’impact relative à la protection des données (AIPD) conformément à l’article 35 du RGPD, les traitements de données personnelles mis en œuvre présentant un risque élevé pour les droits et libertés eu égard au volume de données traitées par la société et à l’utilisation de ses services par des enfants.

Ce faisant, la formation restreinte explicite les modalités d’appréciation d’un risque élevé pour les droits et libertés.

D’abord, la liste des traitements nécessitant une AIPD publiée par la CNIL le 6 novembre 2018 n’est pas exhaustive. Des traitements qui ne figurent pas dans cette liste peuvent aussi présenter un risque élevé pour les droits et libertés.

Ensuite, sans s’estimer liée par celles-ci, la formation restreinte s’appuie « à titre d’éclairage » sur les critères dégagés par les lignes directrices du G29 concernant l’AIPD. Elle confirme ainsi l’existence d’une présomption simple de risque élevé lorsque deux des neufs critères dégagés sont réunis.

Enfin, la formation restreinte fournit quelques précisions sur la portée des critères tenant au traitement à grande échelle et au caractère vulnérable des personnes concernées. S’agissant du critère de traitement à grande échelle, la formation estime que tel est le cas au vu du seul nombre d’utilisateurs, peu importe les types de traitements mis en œuvre par la société et les restrictions prévues. S’agissant du critère de vulnérabilité des personnes concernées, la formation restreinte juge que « le mineur entre quinze et dix-huit ans reste un enfant, et donc une personne vulnérable », même s’il peut par ailleurs consentir seul à un traitement de données personnelles dans le cadre des services de la société de l’information en application de l’article 8 du RGPD et de l’article 45 de la loi Informatique et libertés. La minorité numérique est ainsi strictement interprétée afin qu’elle ne conduise pas à un affaiblissement de la protection des droits et libertés. 

 Le manquement tenant à la méconnaissance de la protection des données par défaut

La formation restreinte de la CNIL a, pour la première fois, sanctionné un manquement à l’obligation de garantir la protection des données par défaut, prévue à l’article 25, § 2 du RGPD. Affirmant le caractère impératif de cet article, la formation retreinte fournit à cette occasion des précisions quant à la portée nécessairement relative de cette obligation.

En l’espèce, le paramétrage par défaut est apprécié au regard des paramétrages les plus fréquents et connus de tous, donnant par conséquent un poids particulier à certaines entreprises dominantes sur un marché. La formation restreinte constate en effet que « sous Microsoft Windows et, de façon plus générale, dans la symbolique couramment utilisée en informatique, le fait de cliquer sur "X" en haut à droite de la dernière fenêtre visible d’une application permet généralement de la quitter ». Or, le fait de cliquer sur « X » en haut à droite sur le réseau social mis en place par la société ne permet pas de le quitter mais simplement de le mettre en arrière-plan. Aussi cette différence de paramétrage peut-elle conduire à ce que des utilisateurs soient entendus par les autres membres présents dans le salon vocal sans qu’ils en aient vraiment conscience.

L’obligation de protection des données par défaut n’interdit pas un tel paramétrage mais implique alors une information suffisamment claire et visible pour prévenir les utilisateurs. Dans le cadre de la procédure, la société a d’ailleurs mis en place une fenêtre « pop-up » permettant, lorsque la fenêtre a été fermée pour la première fois, d’alerter les personnes connectées à un salon vocal que l’application est toujours en fonctionnement et que ce paramètre peut directement être modifié par l’utilisateur.

En définitive, la décision de la formation restreinte de la CNIL de condamner la société Discord Inc. atteste de l’étendue de son contrôle et de son exhaustivité. L’intérêt de la décision réside en effet principalement dans les manquements tenant à l’analyse d’impact et à la protection par défaut dont la formation restreinte a été amenée à préciser les contours et qui mériteront une attention particulière dans les décisions à venir.