FR EN

Toute l'actualité du social

23.10.2024 21:26

Questionner la conformité RGPD de son SIRH

Votre SIRH respecte-t-il les obligations du règlement général sur la protection des données ?


Cat: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Droit Social, Les essentiels, Veille Juridique
22.03.2024 10:34

DEEP FAKES PORNOGRAPHIQUES : Que dit la loi ?

La diffusion de deepfakes pornographiques mettant en scène la chanteuse Taylor Swift à la fin du...


Cat: Droit de la Propriété Intellectuelle, Droit des Technologies Avancées, Droit Social, Veille Juridique
12.02.2024 16:49

Congés payés : Les règles d’acquisition ont changé !

Le Conseil constitutionnel s’est prononcé à son tour (2/2)


Cat: Droit Social, Contentieux prud'homal et licenciements , Droit pénal du travail , Hygiène, Santé et sécurité , Relations individuelles et contrat de travail, Les essentiels, Veille Juridique
10.01.2024 14:55

Droit social : Attention à la rédaction de l’avis d’inaptitude !

A la suite d’un avis d’inaptitude d’un salarié, l’employeur est dispensé de toute recherche de...


Cat: Droit Social, Contentieux prud'homal et licenciements , Hygiène, Santé et sécurité , Relations individuelles et contrat de travail, Veille Juridique
10.01.2024 10:39

Proposition d’un CDI à l’issue d’un CDD : une nouvelle formalité incombe aux employeurs

Depuis le 1er janvier 2024, une nouvelle procédure est en vigueur pour les employeurs souhaitant...


Cat: Droit Social, Contentieux prud'homal et licenciements , Droit pénal du travail , Gestion des départs négociés , Relations individuelles et contrat de travail, Veille Juridique
26.12.2023 16:23

Droit à la preuve face à la protection des données personnelles : peut-on tout utiliser comme moyen de preuve ?

Épisode 3 : La recherche de la vérité au prisme de la déloyauté de la preuve (3/3)


Cat: Droit Social, Contentieux prud'homal et licenciements , Droit pénal du travail , Relations individuelles et contrat de travail, Veille Juridique
25.12.2023 15:23

Droit à la preuve face à la protection des données personnelles : peut-on tout utiliser comme moyen de preuve ?

Épisode 2 : Production des bulletins de paie (2/3)


Cat: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Droit Social, Contentieux prud'homal et licenciements , Droit pénal du travail , Relations individuelles et contrat de travail, Veille Juridique
24.12.2023 10:22

Droit à la preuve face à la protection des données personnelles : peut-on tout utiliser comme moyen de preuve ?

Épisode 1 : Enregistrement vocal de l’employeur à son insu (1/3)


Cat: Droit Social, Contentieux prud'homal et licenciements , Droit pénal du travail , Relations individuelles et contrat de travail, Veille Juridique
voir les archives ->
< MEUBLÉS DE TOURISME : LA COMPENSATION ARRIVE À TOULOUSE !
23.11.2022 16:33 Il y a: 2 yrs
Categorie: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Droit des Technologies Avancées, Veille Juridique

Comptes inactifs : sanction pour ne pas avoir supprimé les données des utilisateurs


Supprimer les données des comptes utilisateurs au bout de deux ans d’inactivité et informer les utilisateurs des durées de conservation appliquées : tel est le message que réaffirme la CNIL dans sa délibération du 10 novembre 2022 sanctionnant la société Discord.

 

 

La société californienne Discord, qui fournit un service de conversation vidéo très populaire notamment dans le milieu du gaming et de l’ESport, a été condamnée par la CNIL à une amende de 800 000 euros pour avoir manqué à plusieurs obligations du RGPD.

 

Le régulateur a notamment reproché à Discord des non-conformités en matière de conservation des données personnelles des utilisateurs du service.

 

En l’occurrence, la société n’avait pas défini de politiques de conservation des données et par conséquent avait gardé des informations sur ses utilisateurs pendant plusieurs années après la dernière utilisation de leurs comptes.

 

Cette décision rappelle aux responsables de traitement la nécessité de définir des durées de conservation des données et de les appliquer en pratique.

 

 

Conservation des données et compte inactif

Lors de la procédure de contrôle, la CNIL s’est aperçue que Discord n’avait prévu aucune politique de conservation des données et qu’au sein de sa base de données il existait 2.474.000 comptes d’utilisateurs français n’ayant pas utilisé leur compte depuis plus de trois ans et 58.000 comptes non-utilisés depuis plus de cinq ans.

 

Dans sa délibération, la CNIL a rappelé son référentiel relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion des activités commerciales, comportant des recommandations détaillés sur les durées de conservations des données personnelles des clients et prospects. Dans le cas spécifique des comptes en ligne, la CNIL recommande que « les comptes soient considérés comme inactifs au bout de deux ans et soient supprimés à l’issue de ce délai, sauf si l’utilisateur exprime le souhait de maintenir son compte actif. »

 

Ainsi, le régulateur considère que Discord « ne saurait se prévaloir en l’espèce du maintien d’une relation contractuelle pour conserver indéfiniment des comptes d’utilisateurs totalement inactifs ».

 

 

Information des personnes sur les durées de conservation

La CNIL a par ailleurs reproché à la société Discord une insuffisance dans l’information des utilisateurs sur les durées de conservation de leurs données à caractère personnel.

 

En effet, elle considère que les informations à ce titre au sein de la politique de confidentialité de Discord « étaient énoncées de manière générique, sans être suffisamment explicites ». 

 

A titre d’illustration, la CNIL cite la phrase suivante de ladite politique de confidentialité : « Nous conservons généralement les données personnelles le temps nécessaire aux fins définies dans ce document. Pour nous débarrasser des données personnelles, nous pouvons les rendre anonymes, les supprimer ou prendre d’autres mesures nécessaires. Il est possible que des données persistent quelque temps sous la forme de copies de sauvegarde ou à des fins commerciales. »

 

Une telle explication est considérée par la CNIL comme un manquement à l’obligation d’information des personnes.  Il faut faire mention d’une durée de conservation précise ou fixer des critères permettant de déterminer la durée.

 

De plus, la CNIL a précisé que le fait de n’indiquer que des critères « n’est permis que lorsqu’il n’est pas possible de fournir une durée précise ».

 

Il s’agit ici d’une précision importante puisque de nombreux responsables de traitement ont tendance à ne fournir que des critères pour établir des durées au sein de leurs politiques de confidentialité.

 

 

Autres manquements

La CNIL a par ailleurs signalé d’autres points de non-conformité pouvant aider à orienter les responsables de traitements dans leurs pratiques, et notamment :

 

  • Désactivation de l’application : Sous Windows et Linux, l’application était paramétrée pour rester active même lorsque l’utilisateur clique sur l’icône « X ». Cette action mettait l’application en arrière-plan mais ne la fermait pas, créant ainsi un risque d’un enregistrement et d’une diffusion à l’insu de l’utilisateur, selon la CNIL. Par conséquent, la CNIL considère que la société Discord manque à l’obligation de garantir la protection des données par défaut (RGPD, article 25, § 2).

 

  • Robustesse des mots de passe : Lors de la création d’un compte sur Discord, un mot de passe composé de six caractères incluant des lettres et des chiffres était accepté.  La CNIL estime qu’au regard du volume de données personnelles à protéger, la robustesse des mots de passe était trop faible, contrairement aux exigences de sécurité de l’article 32 du RGPD.

 

  • Obligation d’analyse d’impact pour un traitement à grande échelle des données personnelles des enfants : La CNIL estime que la société Discord n’avait pas réalisé une « analyse d’impact relative à la protection des données », alors qu’elle en avait l’obligation en vertu de l’article 35 du RGPD. Malgré le fait que les activités en question ne figuraient pas sur la « liste des types d’opérations de traitement pour lesquelles une analyse relative à la protection des données est requise », publiée par la CNIL en 2018, une analyse d’impact était toutefois obligatoire « au regard du volume de données traitées par la société et de l’utilisation de ses services par des enfants ».  

 

 

À retenir :

Fixer une durée précise de conservation des données est indispensable, en tenant compte des recommandations de la CNIL notamment en matière de comptes en lignes inactifs.

 

Expliquer les durées de conservations appliquées au sein de sa politique de confidentialité.

 

L’équipe IP/IT - DATA

 

Notre équipe Data est à votre disposition pour vous aider à actualiser vos processus. Vous pouvez nous contacter via notre formulaire de contact.