Votre panier est actuellement vide !
Échanges communautaires : sanction CNIL de 800 000 euros contre Discord US
Le service d’échanges communautaires Discord (chat, salons virtuels, webcam …) basé aux États-Unis a écopé d’une amende CNIL de 800 000 euros.
La société ne dispose pas d’établissement dans l’Union européenne mais a désigné un représentant, conformément à l’article 27 du règlement (UE) 2016/679 du 27 avril 2016 à savoir la société irlandaise VERASAFE. Trois manquements majeurs au RGDP ont été sanctionnés.
Durée de conservation excessive des comptes d’abonnés (article 5.1.e du RGPD)
La société n’avait aucune politique écrite de conservation des données des abonnés alors qu’elle disposait de 2 474 000 comptes d’utilisateurs français n’ayant pas utilisé leur compte depuis plus de trois ans et 58 000 comptes non utilisés depuis plus de cinq ans.
La société ne saurait se prévaloir en l’espèce du maintien d’une relation contractuelle pour conserver indéfiniment des comptes d’utilisateurs totalement inactifs, mais qui ne se seraient pas désinscrits, dès lors que le compte a été créé gratuitement et qu’un utilisateur inactif qui souhaiterait utiliser à nouveau le service peut le faire en recréant un compte à tout moment.
Les durées de conservation étaient énoncées de manière générique et n’étaient pas suffisamment explicites.
L’information était lacunaire s’agissant des durées de conservation puisqu’elle ne comportait ni durée précise, ni critères permettant de déterminer ces durées.
En tout état de cause, le recours aux ” critères utilisés pour déterminer cette durée ” n’est permis que lorsqu’il n’est pas possible de fournir une durée précise
De façon générale, il est conseillé de supprimer les comptes utilisateurs après deux ans d’inactivité.
Sécurité des données (article 32 du RGPD)
Lors de la création d’un compte sur DISCORD, un mot de passe composé de six caractères incluant des lettres et des chiffres était accepté.
La politique de gestion des mots de passe de DISCORD n’était pas suffisamment robuste et contraignante pour garantir la sécurité des comptes des utilisateurs.
Il est conseillé de définir un mot de passe de huit caractères minimum, avec au moins trois des quatre catégories de caractères (minuscules, majuscules, chiffres et caractères spéciaux) et, après dix tentatives de connexion non abouties, la société exige la résolution d’un captcha (question-réponse, par exemple une case à cocher ou une sélection d’images).
L’analyse d’impact relative à la protection des données (article 35 du RGPD)
Au regard du volume de données traitées par la société et de l’utilisation de ses services par des mineurs, une analyse d’impact devait s’imposer.
La société aurait dû réaliser une analyse d’impact au regard de deux critères permettant de considérer que le traitement était susceptible d’engendrer un risque élevé : la collecte de données à grande échelle et la collecte de données concernant des personnes vulnérables (en l’occurrence des enfants âgés de quinze ans).
Pour rappel, selon le considérant 38 du RGPD, ” les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu’ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel ” et qu’en application de l’article 1er de la Convention internationale relative aux droits de l’enfant, ” un enfant s’entend de tout être humain âgé de moins de dix-huit ans “.
Si, en application de l’article 8 du RGPD et de l’article 45 de la loi Informatique et Libertés, un mineur peut consentir seul à un traitement de données à caractère personnel en ce qui concerne l’offre directe de services de la société de l’information à compter de l’âge de quinze ans, il n’en demeure pas moins que le mineur entre quinze et dix-huit ans reste un enfant, et donc une personne vulnérable.
| Délibération de la formation restreinte no SAN-2022-020 du 10 novembre 2022 concernant la société DISCORD INC. La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de Monsieur Alexandre LINDEN, président, Monsieur Philippe-Pierre CABOURDIN, vice-président, Madame Anne DEBET, Madame Christine MAUGÜÉ, Monsieur Alain DRU et Monsieur Bertrand du MARAIS, membres ; Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données ; Vu la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 20 et suivants ; Vu le décret no 2019-536 du 29 mai 2019 pris pour l’application de la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ; Vu la délibération no 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l’informatique et des libertés ; Vu la décision n° 2020-272C du 14 août 2020 de la présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification de tout traitement de données à caractère personnel portant, en tout ou partie, sur des données relatives à la commercialisation ou à l’utilisation des produits ou services rattachés à la marque ” DISCORD ” ; Vu la décision de la présidente de la Commission nationale de l’informatique et des libertés portant désignation d’un rapporteur devant la formation restreinte, en date du 24 décembre 2021 ; Vu le rapport de Madame Valérie PEUGEOT, commissaire rapporteure, notifié à la société DISCORD INC. le 25 février 2022 ; Vu les observations écrites versées par la société DISCORD INC. le 15 avril 2022 ; Vu la réponse de la rapporteure à ces observations notifiée le 12 mai 2022 au conseil de la société ; Vu les observations écrites de la société DISCORD INC. reçues le 12 juillet 2022 ; Vu les autres pièces du dossier ; Étaient présents, lors de la séance de la formation restreinte du 15 septembre 2022 : – Madame Valérie PEUGEOT, commissaire, entendue en son rapport ; En qualité de représentants de la société DISCORD INC. : – […] La société DISCORD INC. ayant eu la parole en dernier ; La formation restreinte a adopté la décision suivante : I. Faits et procédure 1. La société DISCORD INC. (ci-après ” la société “), dont le siège social est situé 444 De Haro Street #200, San Francisco, CA 94107 (ÉTATS-UNIS), a été créée en 2015. En janvier 2021, elle comptait environ 300 salariés. 2. Pour les années 2019 et 2020, la société a respectivement réalisé un chiffre d’affaires d’environ […] dollars et d’environ […] dollars. 3. DISCORD est un logiciel de voix sur IP (technologie qui permet aux utilisateurs de discuter via leur microphone et/ou leur webcam via Internet) et de messagerie instantanée, permettant notamment aux utilisateurs de créer des serveurs, ainsi que des salons textuels, vocaux et vidéos. DISCORD est ainsi une plateforme permettant aux personnes ayant des intérêts similaires de partager et de communiquer. Ce logiciel est disponible sous Windows, Mac, Linux, iOS et Android et également accessible directement à travers un navigateur web, à partir de l’URL ” https://discord.com “, ou via une application. Populaire parmi la communauté des joueurs de jeux vidéo car leur offrant un moyen de communiquer entre eux et de développer une communauté en dehors des jeux eux-mêmes, DISCORD est devenu un réseau social complet avec un large éventail de façons d’interagir. L’application a connu une forte popularité pendant le confinement lié à la pandémie de Covid-19, en particulier auprès d’un jeune public. 4. L’utilisation du logiciel est gratuite dans son ensemble, mais DISCORD propose la possibilité de s’abonner pour améliorer son profil, ajouter des fonctionnalités sur des serveurs, disposer de plus de débit pour l’échange de fichiers, etc. 5. En janvier 2021, environ […] comptes d’utilisateurs de DISCORD étaient enregistrés dans le monde, parmi lesquels plus de […] en France. 6. La société ne dispose pas d’établissement dans l’Union européenne mais a désigné un représentant, conformément à l’article 27 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après le ” RGPD “), à savoir la société irlandaise VERASAFE. 7. En application de la décision n° 2020-272C de la présidente de la Commission nationale de l’informatique et des libertés (ci-après la ” Commission ” ou la ” CNIL “) du 14 août 2020, la CNIL a effectué une mission de contrôle en ligne sur le site web ” discord.com ” et sur l’application mobile DISCORD le 17 novembre 2020. 8. Le 29 décembre 2020, une mission de contrôle sur pièces auprès de la société a également été réalisée par l’envoi d’un questionnaire à la société. 9. Les 5 et 12 février 2021, la société a transmis des éléments de réponse à la CNIL. Par courriel du 8 mars 2021, la délégation de la CNIL a sollicité des éléments complémentaires auprès du conseil de la société, lesquels ont été transmis par le conseil de la société les 23 et 24 mars 2021. 10. Aux fins d’instruction de ces éléments, la présidente de la Commission a, le 24 décembre 2021, désigné Madame Valérie PEUGEOT en qualité de rapporteure sur le fondement de l’article 39 du décret n° 2019-536 du 29 mai 2019. 11. Le 25 février 2022, la rapporteure a fait notifier à la société un rapport détaillant les manquements au RGPD qu’elle estimait constitués en l’espèce. Ce rapport proposait à la formation restreinte de la Commission de prononcer une amende administrative au regard des manquements constitués aux articles 5, paragraphe 1, e), 12, 13, 21, paragraphe 1, 25, paragraphe 2, 32 et 35 du RGPD. Il proposait également que la décision de sanction soit rendue publique, mais qu’il ne soit plus possible d’identifier nommément la société à l’expiration d’un délai de deux ans à compter de sa publication. 12. Le 15 avril 2022, la société a produit ses observations en réponse au rapport de sanction. 13. La rapporteure a répondu aux observations de la société le 12 mai 2022. 14. Le 12 juillet 2022, la société a produit de nouvelles observations en réponse à celles de la rapporteure. 15. Par courrier du 10 août 2022, la rapporteure a informé le conseil de la société que l’instruction était close, en application de l’article 40, III, du décret modifié n°2019-536 du 29 mai 2019. 16. Par courrier du 11 août 2022, la société a été informée que le dossier était inscrit à l’ordre du jour de la formation restreinte du 15 septembre 2022. 17. La société et la rapporteure ont présenté des observations orales lors de la séance de la formation restreinte. II. Motifs de la décision A. Sur les traitements en cause et l’applicabilité du RGPD 18. L’article 3, paragraphe 2, a) du RGPD dispose que ” Le présent règlement s’applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées : a) à l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes […] “. 19. La société DISCORD INC. traite des données à caractère personnel des utilisateurs (ci-après ” les traitements en cause “) lorsqu’ils créent un compte DISCORD et pour la fourniture des fonctionnalités permises par le logiciel. 20. La formation restreinte relève, sans que ceci soit contesté par la société dans le cadre de la présente procédure, que DISCORD INC. traite des données à caractère personnel d’utilisateurs situés en France. Selon les éléments transmis par la société lors de la procédure de contrôle, DISCORD dénombrait plus de […] utilisateurs en France en janvier 2021. En outre, il ressort du procès-verbal de constatations en ligne du 17 novembre 2020 que, tant sur ordinateur à partir de l’URL ” discord.com ” que sur l’application DISCORD sur téléphone portable, toutes les pages sont accessibles en langue française, à l’exception de la politique de confidentialité qui était disponible en anglais uniquement au moment des constations en ligne, mais qui est dorénavant accessible en français. Par ailleurs que les différents traitements mis en œuvre par la société DISCORD INC. par le biais de son site web et de son application sont directement liés à l’offre de services qu’elle propose. Il s’agit par exemple des traitements en lien avec la création d’un compte, la fourniture de la plateforme de messagerie et du réseau social DISCORD ou les achats réalisés. Enfin, la politique de confidentialité de la société DISCORD INC. fait référence au RGPD et la société VERASAFE située en Irlande a été désignée en qualité de représentante au titre de l’article 27 du RGPD. 21. En conséquence, la formation restreinte retient que les traitements en cause concernent une offre de services destinée à des personnes résidant dans l’Union européenne et en déduit que ces traitements sont soumis au RGPD en application de l’article 3, paragraphe 2, a) de ce Règlement. B. Sur la compétence de la CNIL 22. L’article 55, paragraphe 1, du RGPD dispose que ” chaque autorité de contrôle est compétente pour exercer les missions et les pouvoirs dont elle est investie conformément au présent règlement sur le territoire de l’État membre dont elle relève “. 23. L’article 56, paragraphe 1, du RGPD dispose quant à lui que, ” sans préjudice de l’article 55, l’autorité de contrôle de l’établissement principal ou de l’établissement unique du responsable du traitement ou du sous-traitant est compétente pour agir en tant qu’autorité de contrôle chef de file concernant le traitement transfrontalier effectué par ce responsable du traitement ou ce sous-traitant, conformément à la procédure prévue à l’article 60 “. 24. Par ailleurs, aux termes de l’article 16 de la loi Informatique et Libertés, ” la formation restreinte prend les mesures et prononce les sanctions à l’encontre des responsables de traitements ou des sous-traitants qui ne respectent pas les obligations découlant du règlement (UE) 2016/679 du 27 avril 2016 et de la présente loi […] “. 25. La formation restreinte relève, sans que ceci soit contesté par la société dans le cadre de la présente procédure, que le mécanisme du ” guichet unique ” prévu par l’article 56 du RGPD n’a pas vocation à s’appliquer en l’espèce, la société DISCORD INC. ne disposant pas d’établissement sur le territoire d’un État membre de l’Union européenne. Dès lors, chaque autorité de contrôle nationale est compétente pour contrôler le respect du RGPD sur le territoire de l’État membre dont elle relève conformément à l’article 55 du Règlement, pour les traitements mis en œuvre par DISCORD INC. visant des personnes résidant sur ce territoire. La CNIL est ainsi compétente pour contrôler la conformité au RGPD des traitements mis en œuvre par DISCORD INC. visant des personnes résidant sur le territoire français. C. Sur le manquement à l’obligation de définir et de respecter une durée de conservation des données proportionnée à la finalité du traitement 26. Aux termes de l’article 5, paragraphe 1, e), du RGPD, les données à caractère personnel doivent être ” conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées […] “. 27. La rapporteure relève que la société n’a pas défini de politique de durée de conservation des données et que son registre des activités de traitements ne mentionne aucune durée de conservation des données à caractère personnel traitées. Ainsi, les données sont conservées depuis plus de six ans, date à laquelle le service DISCORD a été lancé, la société ne procédant à aucun effacement ou archivage régulier des données à l’issue d’une période définie. Elle note qu’il existe au sein de la base de données DISCORD 2 474 000 millions de comptes d’utilisateurs français n’ayant pas utilisé leur compte depuis plus de trois ans et 58 000 comptes non utilisés depuis plus de cinq ans, sans que la société ait fourni d’explication ou de justification particulière quant à la conservation de ces comptes inactifs. 28. La rapporteure rappelle que le référentiel de la CNIL relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion des activités commerciales du 3 février 2022 précise – s’agissant des activités commerciales impliquant la création d’un compte en ligne par les clients – que les données ont vocation à être conservées jusqu’à la suppression du compte par l’utilisateur. Toutefois, il souligne qu’il est fréquent que les utilisateurs n’utilisent plus ces comptes sans pour autant les effacer, ce qui les conduit à perdurer indéfiniment. Dans ce cas, la Commission recommande que les comptes soient considérés comme inactifs au bout de deux ans et soient supprimés à l’issue de ce délai, sauf si l’utilisateur exprime le souhait de maintenir son compte actif. 29. En défense, la société indique qu’elle n’avait pas de politique écrite de conservation des données en février 2021, mais soutient qu’elle était toutefois en conformité avec l’article 5 du RGPD, puisqu’elle avait déterminé et mis en œuvre des durées de conservation directement codées dans le service DISCORD en tant que tel. Elle indique que la durée de conservation mise en œuvre correspond à la durée de la relation contractuelle avec ses utilisateurs, ainsi qu’à des durées déterminées en fonction de ses obligations légales et de ses obligations en matière de sécurité qu’elle est tenue de respecter sans pour autant les préciser. 30. En outre, la société soulève l’inopposabilité des recommandations de la CNIL, en particulier du référentiel de la CNIL du 3 février 2022, lequel est postérieur au contrôle en ligne réalisé le 17 novembre 2020 et réserve l’hypothèse ” pour les activités commerciales qui impliquent la création d’un compte en ligne par les clients (par exemple, les sites de rencontres ou les réseaux sociaux), [où] les données peuvent être conservées jusqu’à la suppression du compte par l’utilisateur “. La société souligne également la nature spécifique du Service Discord, qui est un service de communication impliquant de maintenir les comptes dits inactifs dans l’intérêt même des utilisateurs. 31. La formation restreinte relève que, dans le cadre de la procédure de contrôle, la société a indiqué : ” Discord n’a pas de politique de conservation des données écrite. […] La société […] développe actuellement une politique de conservation des données pour supprimer des comptes inactifs lorsque la société peut conclure que l’utilisateur a abandonné son compte “. À cet égard, le registre des activités de traitements communiqué par la société lors de la procédure de contrôle ne mentionne aucune durée de conservation des données à caractère personnel traitées. 32. Les constatations effectuées par la délégation de contrôle de la CNIL confirment qu’il existait, au sein de la base de données DISCORD 2 474 000 comptes d’utilisateurs français n’ayant pas utilisé leur compte depuis plus de trois ans et 58 000 comptes non utilisés depuis plus de cinq ans. 33. La formation restreinte rappelle que l’obligation de ne conserver les données ” pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées […] ” résulte de l’article 5, paragraphe 1, e) du RGPD qui est une disposition impérative. La Commission considère de manière constante que la conservation de comptes en ligne créés gratuitement sans action des utilisateurs au-delà d’une certaine durée conduit à conserver des données de manière illimitée, en méconnaissance du RGPD. La formation restreinte considère que la société ne saurait se prévaloir en l’espèce du maintien d’une relation contractuelle pour conserver indéfiniment des comptes d’utilisateurs totalement inactifs, mais qui ne se seraient pas désinscrits, dès lors que le compte a été créé gratuitement et qu’un utilisateur inactif qui souhaiterait utiliser à nouveau le service peut le faire en recréant un compte à tout moment. 34. Ainsi, la formation restreinte considère que la société a méconnu ses obligations résultant de l’article 5, paragraphe 1, e) du RGPD, la nature du service offert aux utilisateurs étant inopérante. 35. Elle prend néanmoins acte de ce que la société DISCORD INC. dispose désormais d’une politique de durée de conservation des données à caractère personnel traitées écrite, laquelle prévoit notamment la suppression des comptes après deux ans d’inactivité de l’utilisateur. La formation restreinte considère dès lors que la société s’est mise en conformité avec les obligations découlant de l’article 5, paragraphe 1, e) du RGPD. D. Sur le manquement à l’obligation de transparence 36. L’article 12, paragraphe 1, du RGPD dispose que ” le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l’article 34 en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant “. 37. La rapporteure a relevé que, dans le cadre du contrôle diligenté le 17 novembre 2020, la délégation de la CNIL a constaté qu’après avoir cliqué sur le lien intitulé ” Confidentialité ” situé dans le pied de page, une page s’ouvrait dans le navigateur, libellée en ces termes ” DISCORD PRIVACY POLICY “. Si la ” privacy policy ” était aisément accessible à partir du formulaire d’inscription, elle était uniquement disponible en langue anglaise, dans sa version datée du 23 juin 2020 au moment du contrôle en ligne. 38. En défense, la société précise que la politique de confidentialité était déjà communiquée aux utilisateurs en français au moment du contrôle de la CNIL. Toutefois, un problème technique s’étant produit le 16 novembre 2020 a temporairement empêché la traduction française de la politique de confidentialité d’apparaître sur le site web lors du contrôle. Elle ajoute avoir identifié le problème technique et rapidement mis en œuvre les mesures nécessaires pour le résoudre, précisant que la version française de la politique de confidentialité est redevenue accessible le 3 décembre 2020. 39. Au vu de ces éléments, la rapporteure propose à la formation restreinte de ne pas retenir le manquement à l’article 12 du RGPD. 40. La formation restreinte prend acte des éléments apportés par la société et estime que ce manquement n’est pas constitué. E. Sur le manquement à l’obligation d’information des personnes 41. L’article 13 du RGPD dresse la liste des informations devant être communiquées par le responsable de traitement aux personnes concernées lorsque leurs données à caractère personnel sont collectées directement auprès d’elles. L’article 13, paragraphe 2, du RGPD dispose qu’” en plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée, au moment où les données à caractère personnel sont obtenues, les informations complémentaires suivantes qui sont nécessaires pour garantir un traitement équitable et transparent : a) la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée […] “. 42. Les lignes directrices sur la transparence au sens du règlement (UE) 2016/679, venant éclairer les dispositions de l’article 13, précisent que ” la durée de conservation […] devrait être formulée de manière à ce que la personne concernée puisse évaluer, selon la situation dans laquelle elle se trouve, quelle sera la période de conservation s’agissant de données spécifiques ou en cas de finalités spécifiques. Le responsable du traitement ne peut se contenter de déclarer de façon générale que les données à caractère personnel seront conservées aussi longtemps que la finalité légitime du traitement l’exige. Le cas échéant, différentes périodes de stockage devraient être mentionnées pour les différentes catégories de données à caractère personnel et/ou les différentes finalités de traitement, notamment les périodes à des fins archivistiques “. 43. La rapporteure relève que les durées de conservation étaient énoncées de manière générique, sans être suffisamment explicites, puisqu’elles étaient précisées en ces termes : ” Nous conservons généralement les données personnelles le temps nécessaire aux fins définies dans ce document. Pour nous débarrasser des données personnelles, nous pouvons les rendre anonymes, les supprimer ou prendre d’autres mesures nécessaires. Il est possible que des données persistent quelque temps sous la forme de copies de sauvegarde ou à des fins commerciales “. La rapporteure conclut donc qu’un manquement à l’obligation d’information est caractérisé. 44. En défense, la société indique que l’article 13, paragraphe 2, a) du RGPD n’impose pas de fournir la durée de conservation en tant que telle, mais qu’il laisse au contraire la possibilité au responsable de traitement de fournir les ” critères utilisés pour déterminer cette durée “. Elle ajoute qu’afin de se conformer à cette obligation, la société DISCORD INC. a fourni aux utilisateurs lesdits critères, à savoir la durée nécessaire pour réaliser les finalités par ailleurs explicitement décrites dans la politique de confidentialité. Enfin, la société ajoute qu’elle a développé une note d’information qui fournit plus de détails en matière de conservation des données à caractère personnel et qu’un lien vers la page ” Combien de temps Discord conserve vos informations ” a été inclus directement dans la politique de confidentialité. 45. La formation restreinte considère qu’au moment du contrôle en ligne effectué, les durées de conservation étaient énoncées de manière générique et n’étaient pas suffisamment explicites. L’information était lacunaire s’agissant des durées de conservation puisqu’elle ne comportait ni durée précise, ni critères permettant de déterminer ces durées. En tout état de cause, la formation restreinte rappelle que le recours aux ” critères utilisés pour déterminer cette durée ” n’est permis que lorsqu’il n’est pas possible de fournir une durée précise. Or, tel n’est pas le cas en l’espèce s’agissant des traitements mis en œuvre par la société. Il en résulte que les personnes ne pouvaient pas connaître les durées de conservation établies par la société DISCORD INC., alors que cette information est importante afin de garantir ” un traitement équitable et transparent ” puisqu’elle contribue à assurer pour les utilisateurs la maîtrise sur le traitement de leurs données. 46. Dès lors, la formation restreinte considère que la société a méconnu ses obligations résultant de l’article 13, paragraphe 2, a) du RGPD. Elle prend néanmoins acte des mesures prises par la société DISCORD INC. au cours de la procédure et estime que la société s’est désormais mise en conformité sur ce point. F. Sur le manquement à l’obligation de respecter le droit d’opposition 47. L’article 21, paragraphe 1, du RGPD dispose que ” la personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l’article 6, paragraphe 1, point e) ou f), y compris un profilage fondé sur ces dispositions. Le responsable du traitement ne traite plus les données à caractère personnel, à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice “. 48. La rapporteure a relevé que, parmi les traitements de données à caractère personnel que met en œuvre la société DISCORD INC., figure le traitement ” Utiliser les données pour améliorer Discord “, ayant pour finalité d’utiliser les informations collectées via les services pour ” aider [la société] à améliorer le contenu et les fonctionnalités des services, mieux comprendre [ses] utilisateurs et améliorer le service “. Il ressort du registre des traitements de la société que la finalité d’amélioration du service conduit à collecter les données suivantes : adresse IP, identifiant utilisateur, système d’exploitation, serveurs de discussion rejoints, contacts/amis, jeux joués, abonnement éventuel à la version premium de discord, achats réalisés, fonctionnalités utilisées, activités dans la plateforme, etc. La société ajoute que, lorsque que l’utilisateur s’oppose à ce que ses données soient utilisées à des fins d’amélioration du service DISCORD, il doit se rendre dans les paramètres et désactiver la fonctionnalité. Dans ce cas, la société supprime l’association de l’alias à l’identifiant de l’utilisateur, ce qui l’empêche alors, selon elle, de pouvoir associer les données collectées avec l’alias pseudonyme à l’identifiant de l’utilisateur. La rapporteure a relevé qu’il ressort des informations transmises par la société que des données à caractère personnel de l’intéressé continuent d’être traitées, alors même que l’utilisateur a manifesté son souhait de s’y opposer. La simple rupture du lien entre, d’une part, les données d’utilisation traitées et conservées avec l’alias pseudonyme et, d’autre part, l’identifiant de l’utilisateur associé à son compte n’apparaît pas suffisante pour considérer que le droit d’opposition de l’utilisateur au traitement de ses données pour cette finalité serait dûment pris en compte et effectif. 49. En défense, la société considère que la possibilité de désactiver la fonction ” Utiliser les données pour améliorer Discord ” avec un bouton slider ne constitue pas l’exercice du droit d’opposition au sens de l’article 21, paragraphe 1, du RGPD. Elle précise avoir bien distingué, dans ses réponses à la délégation de contrôle : – d’une part, une option de paramétrage qui peut être utilisée via un bouton slider en ligne sans qu’il soit besoin d’une justification tenant à la situation particulière de l’utilisateur : dans ce cas, les données sont pseudonymisées ; – d’autre part, le droit d’opposition qui s’exerce en vertu de l’article 21, paragraphe 1, du RGPD. Dans ce cas, les utilisateurs exercent leur demande auprès de la société DISCORD ou de son représentant, en justifiant des raisons tenant à leur situation particulière pour permettre à la société d’apprécier si cette condition est remplie. Ce droit n’est pas exercé via le bouton slider. 50. La société considère que la sanctionner sur ce point aurait pour effet de dissuader les organismes à mettre en place le ” privacy by design ” et de les pousser à ne fournir que le mécanisme d’opposition prévu par l’article 21 du RGPD. 51. Au vu de ces éléments, la rapporteure propose à la formation restreinte de ne pas retenir ce manquement. 52. La formation restreinte relève qu’il ressort des éléments communiqués par la société que l’existence du bouton slider permettant de désactiver la fonction ” Utiliser les données pour améliorer Discord ” est un paramétrage qui n’a pas pour objet de constituer l’exercice du droit d’opposition au sens de l’article 21 du RGPD et que la société DISCORD INC. offre une procédure d’opposition conforme à cet article. 53. Dans ces conditions, la formation restreinte estime que le manquement à l’article 21 du RGPD n’est pas constitué. G. Sur le manquement à l’obligation de garantir la protection des données par défaut 54. L’article 25, paragraphe 2, dispose que ” le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s’applique à la quantité de données à caractère personnel collectées, à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée “. 55. La rapporteure indique que, par défaut, l’utilisateur doit effectuer plusieurs actions pour quitter l’application DISCORD sous Windows et Linux. L’application est paramétrée afin de rester active même lorsque l’utilisateur ferme la fenêtre principale (en sélectionnant l’icône ” X ” situé en haut à droite), ce qui permet de continuer à communiquer vocalement tout en n’occupant plus de place sur le bureau de l’ordinateur. Seul un petit indicateur permet de comprendre que l’application est active. Cet indicateur était présent dans la barre des tâches, qui se situe en bas à droite de l’écran sous Microsoft Windows, à côté des date et heure. La rapporteure en conclut que ce paramétrage de l’application conduisait à ce que des données à caractère personnel de l’utilisateur puissent être communiquées à des tiers par le biais du salon vocal, alors même que celui-ci pensait, en l’absence d’information spécifique suffisamment visible et claire, que leur collecte avait cessé lorsqu’il avait choisi de fermer la fenêtre de l’application. 56. En défense, la société indique que l’une des fonctionnalités premières de DISCORD est de pouvoir échanger avec des amis, souvent en faisant autre chose, comme par exemple en jouant à un jeu vidéo ou en naviguant sur le web. Selon la société, l’utilisateur souhaite uniquement voir sur son écran le jeu auquel il est en train de jouer et toute intrusion sur son écran impacterait son jeu et le dérangerait. Elle considère que, lorsqu’un utilisateur connecté à un salon vocal clique sur l’icône ” X ” située en haut à droite, il ne pense aucunement quitter l’application en question et a bien conscience qu’il est toujours connecté audit salon. Selon la société, il est informé à plusieurs reprises que, pour quitter un salon vocal, il doit cliquer sur le bouton ” déconnexion ” (icône représentant un téléphone avec une croix dans un rond rouge). 57. En outre, la société considère qu’il est primordial de prendre en compte le fonctionnement d’applications similaires afin d’évaluer le niveau d’attente des utilisateurs de DISCORD. La société invoque les lignes directrices relatives à la protection des données dès la conception et par défaut du CEPD, qui prévoient que ” le traitement devrait correspondre aux attentes raisonnables des personnes concernées “. Selon elle, la rapporteure ne peut conclure à un manquement à la protection des données dès la conception sans avoir préalablement déterminé si les utilisateurs ont été trompés ou si le traitement et le fonctionnement de l’application est inattendu, préjudiciable ou discriminatoire pour ses utilisateurs. Or, selon la société, l’utilisateur peut légitimement s’attendre à un tel fonctionnement de l’application DISCORD puisque, d’une part, les applications sur les systèmes d’exploitation Windows et Linux fonctionnent de la même manière (selon elle, lorsqu’il clique sur l’icône ” X “, l’utilisateur s’attend à ce que cette action permette uniquement de fermer une fenêtre et de mettre l’application en arrière-plan) et, d’autre part, le niveau d’attente de l’utilisateur, lorsqu’il clique sur l’icône ” X “, est de mettre l’application en arrière-plan pour pouvoir continuer à discuter tout en réalisant d’autres actions sur son ordinateur. Par ailleurs, la société explique que les modalités de fermeture peuvent être modifiées grâce à un paramétrage mis à la disposition des utilisateurs, qui peut décider d’une seule action à effectuer pour fermer l’application. 58. Enfin, la société précise avoir désormais mis en place une fenêtre de type ” pop-up ” qui indique aux utilisateurs des systèmes d’exploitation Windows et Linux que l’application DISCORD est toujours en cours de fonctionnement lorsque la fenêtre a été fermée et que ces paramètres peuvent directement être modifiés par l’utilisateur. 59. En premier lieu, la formation restreinte relève que, si un utilisateur connecté à un salon vocal ferme la fenêtre de l’application en cliquant sur l’icône ” X ” située en haut à droite (sous Microsoft Windows), il ne fait en réalité que mettre l’application en arrière-plan et non la quitter ; il est donc toujours connecté dans le salon vocal. Pourtant, sous Microsoft Windows et, de façon plus générale, dans la symbolique couramment utilisée en informatique, le fait de cliquer sur ” X ” en haut à droite de la dernière fenêtre visible d’une application permet généralement de la quitter. La réduction de l’application, en arrière-plan, est généralement obtenue en cliquant sur une icône ” – “. Or, le comportement de DISCORD est différent. Dès lors, la formation restreinte considère que l’utilisateur devrait se voir délivrer une information spécifique, afin qu’il soit averti de cette différence. Or tel n’était pas le cas au moment où le contrôle en ligne a été réalisé. 60. La formation restreinte précise que, s’il existe des applications avec des fonctions de communication qui ne sont en réalité que réduites en arrière-plan après que l’utilisateur a cliqué sur la croix de fermeture, généralement, soit les applications qui ont un tel comportement informent avec une fenêtre surgissante l’utilisateur lors du premier clic sur la croix que l’application va passer en arrière-plan mais continuer de fonctionner ; soit, par défaut, le comportement de réduction en arrière-plan n’est pas activé et c’est à l’utilisateur de le paramétrer manuellement. Or, en l’espèce et avant la mise en place de la fenêtre type ” pop-up ” mentionnée ci-avant, la réduction en arrière-plan avait lieu par défaut dès la première utilisation après l’installation, sans aucun avertissement ou information claire. 61. En conséquence, la société ne saurait valablement soutenir que le fonctionnement de l’application correspondrait aux attentes de l’utilisateur, dans la mesure où d’autres applications informent la personne ou permettent à l’utilisateur d’effectuer lui-même ce paramétrage spécifique. 62. En deuxième lieu, la formation restreinte relève que ce paramétrage par défaut de l’application – qui prévoyait qu’elle n’est pas quittée lorsque la fenêtre principale est fermée – conduisait à ce que des données à caractère personnel de l’utilisateur puissent être communiquées à des tiers sans qu’il en ait nécessairement conscience. En effet, l’utilisateur n’avait pas forcément conscience que ses paroles continuaient à être transmises et entendues par les autres membres présents dans le salon vocal. La formation restreinte note qu’un tel paramétrage, en l’absence d’information suffisamment claire et visible, présentait des risques importants pour les utilisateurs, notamment d’intrusion dans leur vie privée. 63. Dès lors, la formation restreinte considère que la société a méconnu ses obligations résultant de l’article 25, paragraphe 2, du RGPD, qui impose la protection des données par défaut. 64. Elle prend néanmoins acte de ce que la société DISCORD INC. a désormais mis en place une fenêtre ” pop-up ” permettant, lorsque la fenêtre a été fermée pour la première fois, d’alerter les personnes connectées à un salon vocal de ce que l’application DISCORD est toujours en cours de fonctionnement et que ces paramètres peuvent directement être modifiés par l’utilisateur. H. Sur le manquement à l’obligation d’assurer la sécurité des données 65. Aux termes de l’article 32 du RGPD, ” compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins : […] b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ; c) […] d) une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement “. 66. La rapporteure a relevé que, lors de la création d’un compte sur DISCORD, un mot de passe composé de six caractères incluant des lettres et des chiffres était accepté. La rapporteure a considéré que de tels mots de passe, sans critère de complexité suffisant et n’étant associés à aucune mesure de sécurité complémentaire, ne permettent pas d’assurer la sécurité des données à caractère personnel traitées par la société et d’empêcher que des tiers non autorisés aient accès à ces données. 67. En défense, la société conteste l’analyse de la rapporteure et considère avoir mis en place des mesures permettant de garantir un niveau élevé de sécurité pour l’accès de ses utilisateurs à son système, y compris des mesures afin d’empêcher les attaques par force brute : limitation des tentatives de connexion à une par seconde ; vérification par courriel ou SMS pour valider l’identifiant lorsque la société reçoit une demande de connexion provenant d’une adresse IP située en dehors de la zone de l’adresse IP de connexion précédente ; rejet des mots de passe couramment utilisés et compromis et implémentation d’un ” captcha ” pour les connexions à partir de nouvelles plages d’adresses IP. 68. La société a par ailleurs apporté des modifications à ses processus de sécurité des mots de passe dans le cadre de la procédure de sanction : – elle exige désormais des utilisateurs français qu’ils définissent des mots de passe d’une longueur minimale de huit caractères, dont au moins trois de ces caractères sont des lettres minuscules, des lettres majuscules, des chiffres ou des caractères spéciaux ; – après dix tentatives de connexion infructueuses, la société exige la résolution d’un ” captcha “. 69. La formation restreinte considère que la longueur et la complexité d’un mot de passe demeurent des critères élémentaires permettant d’apprécier la force de celui-ci. Elle relève à cet égard que la nécessité d’un mot de passe fort est également soulignée par l’Agence nationale de sécurité des systèmes d’information. 70. À titre d’éclairage, la formation restreinte rappelle que pour assurer un niveau de sécurité suffisant et satisfaire aux exigences de robustesse des mots de passe, si l’authentification prévoit une restriction de l’accès au compte, la CNIL recommande, dans sa délibération n° 2017-012 du 19 janvier 2017, que le mot de passe comporte au minimum huit caractères, contenant au moins trois des quatre catégories de caractères (majuscules, minuscules, chiffres et caractères spéciaux) et que l’authentification fasse intervenir une restriction de l’accès au compte comme par exemple la temporisation d’accès au compte après plusieurs échecs (suspension temporaire de l’accès dont la durée augmente à mesure des tentatives), la mise en place d’un mécanisme permettant de se prémunir contre les soumissions automatisées et intensives de tentatives (comme un ” captcha “) et/ou le blocage du compte après plusieurs tentatives d’authentification infructueuses. 71. En l’espèce, la formation restreinte relève qu’un un mot de passe composé de six caractères incluant des lettres et des chiffres était accepté au moment du contrôle en ligne. La formation restreinte estime qu’au regard des règles peu exigeantes encadrant leur composition, ainsi que du volume de données personnelles à protéger, la robustesse des mots de passe admis par la société était trop faible, conduisant à un risque de compromission des comptes associés et des données à caractère personnel qu’ils contiennent, et ce malgré les mesures de sécurité complémentaires mises en place avant la procédure de sanction. 72. Dans ces conditions, eu égard aux risques encourus par les personnes, la formation restreinte considère que les faits précités constituent un manquement à l’article 32 du RGPD, dès lors que la politique de gestion des mots de passe de la société n’était pas suffisamment robuste et contraignante pour garantir la sécurité des données, au sens de cet article. 73. Elle relève néanmoins que, dans le cadre de la procédure de sanction, la société a apporté des modifications sur ce point et s’est mise en conformité avec les dispositions de l’article 32 du RGPD. I. Sur le manquement à l’obligation d’effectuer une analyse d’impact relative à la protection des données 74. L’article 35, paragraphe 1, du RGPD dispose que ” lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel “. 75. Le considérant 91 du RGPD prévoit notamment qu’une analyse d’impact ” devrait s’appliquer, en particulier, aux opérations de traitement à grande échelle qui visent à traiter un volume considérable de données à caractère personnel au niveau régional, national ou supranational, qui peuvent affecter un nombre important de personnes concernées […] “. 76. La rapporteure considère que la société aurait dû réaliser une analyse d’impact relative à la protection des données (ci-après ” AIPD “), au regard de deux critères permettant de considérer que le traitement était susceptible d’engendrer un risque élevé : la collecte de données à grande échelle et la collecte de données concernant des personnes vulnérables. La rapporteure estime que les traitements mis en œuvre par la société sont susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques et en conclut que la société DISCORD INC. a méconnu les obligations de l’article 35 du RGPD en ne réalisant pas une analyse d’impact relative à la protection des données. 77. En défense, la société DISCORD INC. indique avoir considéré qu’une AIPD n’était pas nécessaire dans la mesure où elle ne traite que des données très limitées, à savoir celles nécessaires pour permettre aux utilisateurs de créer leur compte, pour fournir ses services, pour respecter ses engagements envers ses utilisateurs et pour satisfaire à ses obligations légales ; elle n’effectue aucun des traitements listés à l’article 35, paragraphe 3, du RGPD comme requérant une analyse d’impact ; elle n’effectue aucune des opérations de traitement pour lesquelles la CNIL a considéré qu’une AIPD est requise, conformément à la liste des traitements pour lesquels une telle analyse est nécessaire publiée le 6 novembre 2018 ; elle ne traite pas de données sur des ” enfants “, puisqu’elle s’adresse uniquement aux utilisateurs de plus de quinze ans qui disposent d’un degré de maturité suffisant pour utiliser ses services. 78. La société souligne par ailleurs que les lignes directrices du G29 concernant l’AIPD et la manière de déterminer si le traitement est ” susceptible d’engendrer un risque élevé ” aux fins du règlement (UE) 2016/679 rappellent qu’une AIPD n’est pas automatique même lorsque le traitement répond à deux des neufs critères définis parmi ceux à prendre en compte. 79. Enfin, la société explique que, quand bien même elle n’y était pas tenue en vertu du RGPD, elle a depuis réalisé deux AIPD pour son traitement lié au service DISCORD et à ses services essentiels, lesquels ont conclu que le traitement n’est pas susceptible d’engendrer un risque élevé pour les droits et libertés des personnes. 80. En premier lieu, la formation restreinte considère qu’en traitant les données de plus de […] utilisateurs en France, la société DISCORD INC. met en œuvre un traitement de données à caractère personnel à grande échelle. De surcroît, la formation restreinte relève que l’application a également vocation à être utilisée par des enfants âgés de quinze ans, ce dont la société DISCORD INC. a pleinement conscience, puisqu’elle indique elle-même qu’elle ” s’engage à protéger la vie privée des enfants et a par conséquent mis en place des mesures pour s’assurer qu’aucun enfant n’ayant pas l’âge minimum défini pour chaque pays puisse accéder aux services de Discord et créer un compte “. 81. La formation restreinte rappelle que, selon le considérant 38 du RGPD, ” les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu’ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel ” et qu’en application de l’article 1er de la Convention internationale relative aux droits de l’enfant, ” un enfant s’entend de tout être humain âgé de moins de dix-huit ans “. Si, en application de l’article 8 du RGPD et de l’article 45 de la loi Informatique et Libertés, un mineur peut consentir seul à un traitement de données à caractère personnel en ce qui concerne l’offre directe de services de la société de l’information à compter de l’âge de quinze ans, il n’en demeure pas moins que le mineur entre quinze et dix-huit ans reste un enfant, et donc une personne vulnérable. 82. La formation restreinte rappelle, à titre d’éclairage, que les lignes directrices du G29 concernant l’AIPD précitées, modifiées et adoptées en dernier lieu le 4 octobre 2017, ont fixé une liste de neuf critères à prendre en compte pour donner une vision plus concrète des opérations de traitement qui nécessitent une analyse d’impact du fait d’un risque inhérent élevé. Parmi ces critères figurent notamment la collecte de données à caractère personnel à grande échelle et la collecte de données concernant des personnes vulnérables. Les lignes directrices ajoutent que, ” dans la plupart des cas, le responsable du traitement peut considérer qu’un traitement satisfaisant à deux critères nécessite une AIPD “. 83. S’agissant du premier critère relatif à la collecte de données à grande échelle, les lignes directrices expliquent qu’il convient de prendre en compte, en particulier, le nombre de personnes concernées, le volume de données et/ou l’éventail des différents éléments de données traitées, la durée ou la permanence de l’activité de traitement de données et l’étendue géographique de l’activité de traitement. S’agissant du deuxième critère relatif à la collecte de données concernant des personnes vulnérables, les lignes directrices indiquent que le traitement de données concernant des personnes vulnérables est un critère en raison du déséquilibre des pouvoirs accru qui existe entre les personnes concernées et le responsable du traitement, ce qui signifie que les premières peuvent se trouver dans l’incapacité de consentir ou de s’opposer aisément au traitement de leurs données ou d’exercer leurs droits. Parmi ces personnes vulnérables, les lignes directrices citent les enfants ” qui peuvent être vus comme incapables de s’opposer ou de consentir sciemment et de manière réfléchie au traitement de leurs données “. 84. En conséquence, la formation restreinte estime que la société aurait dû procéder à une analyse d’impact du traitement de données mis en œuvre, au regard du volume de données traitées par la société et de l’utilisation de ses services par des enfants. 85. En deuxième lieu, la formation restreinte relève que, si les traitements effectués par la société ne figurent pas dans la ” liste des types d’opérations de traitement pour lesquelles une analyse relative à la protection des données est requise ” publiée par la CNIL (délibération n° 2018-327 du 11 octobre 2018), ils ne figurent pas non plus dans la ” liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données n’est pas requise ” (délibération n° 2019-118 du 12 septembre 2019). 86. En troisième lieu, la formation restreinte prend acte de ce que la société a, dans le cadre de la présente procédure, effectué deux AIPD, lesquelles ont été transmises à la CNIL et ont conclu que le traitement n’est pas susceptible d’engendrer un risque élevé pour les droits et libertés des personnes. Elle relève néanmoins que si les analyses d’impact effectuées ont conclu à l’absence de risque élevé, il n’en demeure pas moins que leur réalisation préalable était impérative pour s’en assurer. 87. Compte tenu de l’ensemble de ces éléments, la formation restreinte considère que la société a méconnu les obligations de l’article 35 du RGPD. III. Sur les mesures correctrices et leur publicité 88. Aux termes de l’article 20, III, de la loi du 6 janvier 1978 modifiée, ” Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l’informatique et des libertés peut également, le cas échéant après lui avoir adressé l’avertissement prévu au I du présent article ou, le cas échéant en complément d’une mise en demeure prévue au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l’une ou de plusieurs des mesures suivantes : […] 7° A l’exception des cas où le traitement est mis en œuvre par l’État, une amende administrative ne pouvant excéder 10 millions d’euros ou, s’agissant d’une entreprise, 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l’article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d’euros et 4 % dudit chiffre d’affaires. La formation restreinte prend en compte, dans la détermination du montant de l’amende, les critères précisés au même article 83 “. 89. L’article 83 du RGPD prévoit quant à lui que ” chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives “, avant de préciser les éléments devant être pris en compte pour décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de cette amende. 90. En premier lieu, sur le principe du prononcé d’une sanction, la société demande à la formation restreinte de ne pas prononcer de sanction à son encontre, dans la mesure où elle conteste l’ensemble des manquements qui lui sont reprochés. S’agissant du montant de l’amende, la société considère que sa bonne foi et sa volonté de coopérer n’ont pas été effectivement prises en compte dans la proposition de la rapporteure. 91. La formation restreinte rappelle qu’elle doit tenir compte, pour le prononcé d’une amende administrative, des critères précisés à l’article 83 du RGPD, tels que la nature, la gravité et la durée de la violation, les mesures prises par le responsable du traitement pour atténuer le dommage subi par les personnes concernées, le degré de coopération avec l’autorité de contrôle et les catégories de données à caractère personnel concernées par la violation. 92. La formation restreinte souligne que les manquements commis par la société portent sur des obligations touchant aux principes fondamentaux de la protection des données à caractère personnel et que cinq manquements sont constitués. 93. La formation restreinte relève ensuite que les traitements mis en œuvre par la société DISCORD INC. concernent un nombre très important de personnes situées en France, puisque plus de […] de comptes d’utilisateurs de DISCORD étaient enregistrés en France en janvier 2021, dont des mineurs. 94. En conséquence, la formation restreinte considère qu’il y a lieu de prononcer une amende administrative au regard des manquements constitués aux articles 5, paragraphe 1, e), 13, 25, paragraphe 2, 32 et 35 du RGPD. 95. La formation restreinte rappelle que les manquements relatifs aux articles 5, paragraphe 1, e) et 13 du RGPD sont des manquements à des principes susceptibles de faire l’objet, en vertu de l’article 83 du RGPD, d’une amende administrative pouvant s’élever jusqu’à 20 000 000 euros ou jusqu’à 4 % du chiffre d’affaires annuel mondial de l’exercice précédent, le montant le plus élevé étant retenu. 96. La formation restreinte rappelle également que les amendes administratives doivent être à la fois dissuasives et proportionnées. Elle considère en particulier que l’activité de la société et sa situation financière doivent notamment être prises en compte pour la détermination du montant de l’amende administrative. Elle relève à cet égard que la société DISCORD INC. a réalisé un chiffre d’affaires d’environ […] dollars en 2019 et de plus de […] dollars en 2020. 97. Par ailleurs, la formation restreinte acte les efforts réalisés par la société pour se mettre en conformité tout au long de la procédure, ainsi que le fait que son modèle d’affaires n’est pas fondé sur l’exploitation des données à caractère personnel. 98. Dès lors, au vu de ces éléments, la formation restreinte considère que le prononcé d’une amende administrative d’un montant de 800 000 euros apparaît justifié. 99. En deuxième lieu, s’agissant de la publicité de la décision de sanction, la société soutient qu’une telle mesure lui causerait injustement préjudice et n’apparaît pas justifiée au regard du niveau de protection des données à caractère personnel qu’elle assurait à ses utilisateurs au moment du contrôle et qu’elle continue d’assurer à l’ensemble de ses utilisateurs. Elle considère qu’une telle publicité ferait croire aux utilisateurs que le traitement de leurs données à caractère personnel n’est pas conforme alors que ces derniers sont correctement informés du traitement qui est fait de leurs données, que la sécurité de leurs données est assurée via des mesures robustes et que l’exercice de leurs droits est respecté. 100. La formation restreinte considère que la publicité de la sanction se justifie au regard du nombre de personnes concernées, du nombre de manquements commis et de leur gravité. PAR CES MOTIFS La formation restreinte de la CNIL, après en avoir délibéré, décide de : • prononcer à l’encontre de la société DISCORD INC. une amende administrative d’un montant de 800 000 (huit cent mille) euros pour les manquements aux articles 5, paragraphe 1, e), 13, 25, paragraphe 2, 32 et 35 du RGPD ; • rendre publique, sur le site de la CNIL et sur le site de Légifrance, sa délibération, qui n’identifiera plus nommément la société à l’expiration d’un délai de deux ans à compter de sa publication. Le président Alexandre LINDEN Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de quatre mois à compter de sa notification. | |
