CNIL – Discord INC. – SAN-2022-020

Par /

CNIL – Discord INC. – SAN-2022-020

Décision

Autorité:
CNIL ou équivalent
Numéro:
SAN-2022-020
Nom:
Discord INC.
Date:
10 novembre 2022
Pays:
France
Lien:
Cliquer ici

Contexte

DISCORD est un logiciel de voix sur IP (technologie qui permet aux utilisateurs de discuter via leur microphone et/ou leur webcam via Internet) et de messagerie instantanée, permettant notamment aux utilisateurs de créer des serveurs, ainsi que des salons textuels, vocaux et vidéos. DISCORD est ainsi une plateforme permettant aux personnes ayant des intérêts similaires de partager et de communiquer. Faisant suite à une enquête, la rapporteure a fait notifier à la société un rapport détaillant les manquements au RGPD qu’elle estimait constitués en l’espèce. Ce rapport proposait à la formation restreinte de la Commission de prononcer une amende administrative au regard des manquements constitués aux articles 5, paragraphe 1, e), 12, 13, 21, paragraphe 1, 25, paragraphe 2, 32 et 35 du RGPD.

S'agissant de l'article 25 du RGPD, il est notamment reproché à la société le fait que le fait de cliquer sur la croix du logiciel n'ait pour effet que de le "réduire" sans le fermer complètement, celui-ci continuant ainsi d'opérer en arrière-plan.


Apport(s)

« Guichet unique » applicable aux traitements transfrontaliers (art. 56 RGPD) - 1) Absence d’établissement sur le territoire d’un État membre de l’Union européenne - Exclusion - 2) En conséquence, compétence de la CNIL pour le contrôle de la conformité au RGPD des traitements visant des personnes résidant sur le territoire national - Admission
  • Extrait(s) pertinent(s)25. La formation restreinte relève, sans que ceci soit contesté par la société dans le cadre de la présente procédure, que le mécanisme du " guichet unique " prévu par l’article 56 du RGPD n’a pas vocation à s’appliquer en l’espèce, la société DISCORD INC. ne disposant pas d’établissement sur le territoire d’un État membre de l’Union européenne. Dès lors, chaque autorité de contrôle nationale est compétente pour contrôler le respect du RGPD sur le territoire de l’État membre dont elle relève conformément à l’article 55 du Règlement, pour les traitements mis en Å“uvre par DISCORD INC. visant des personnes résidant sur ce territoire. La CNIL est ainsi compétente pour contrôler la conformité au RGPD des traitements mis en Å“uvre par DISCORD INC. visant des personnes résidant sur le territoire français.
  • Article(s) du RGPD Article 56 – Compétence de l’autorité de contrôle chef de file
  • Fait référence à
  • Autres informations
Recours à un symbole couramment utilisé en informatique pour un usage inhabituel - Absence d'information suffisamment claire - Méconnaissance du principe de protection des données par défaut
  • Extrait(s) pertinent(s)62. En deuxième lieu, la formation restreinte relève que ce paramétrage par défaut de l’application - qui prévoyait qu’elle n’est pas quittée lorsque la fenêtre principale est fermée - conduisait à ce que des données à caractère personnel de l’utilisateur puissent être communiquées à des tiers sans qu’il en ait nécessairement conscience. En effet, l’utilisateur n’avait pas forcément conscience que ses paroles continuaient à être transmises et entendues par les autres membres présents dans le salon vocal. La formation restreinte note qu’un tel paramétrage, en l’absence d’information suffisamment claire et visible, présentait des risques importants pour les utilisateurs, notamment d’intrusion dans leur vie privée.

    63. Dès lors, la formation restreinte considère que la société a méconnu ses obligations résultant de l’article 25, paragraphe 2, du RGPD, qui impose la protection des données par défaut.
  • Article(s) du RGPD Article 25 – Protection des données dès la conception et protection des données par défaut 
  • Fait référence à
  • Autres informations


Références

Cette décision cite...

Cette décision est citée par...

Signaler une erreur / Faire une suggestion
Retour en haut