FR EN

L'actualité sur la data

17.12.2024 14:55

Altij & Oratio Avocats récompensé lors du tout premier Palmarès du Droit de Toulouse

Le cabinet Altij & Oratio avocats récompensé lors du Palmarès du Droit 2024

Lauréat du Prix du cabinet le plus innovant et plusieurs distinctions majeures, Altij & Oratio...


Cat: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Droit des Technologies Avancées, Les essentiels, Veille Juridique
28.10.2024 09:10

La CNIL étend son contrôle aux entreprises hors UE collectant des données d’Européens : comprendre les nouvelles obligations RGPD

La CNIL peut désormais contrôler les entreprises hors UE collectant des données d’Européens, même...


Cat: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Droit des Technologies Avancées, Les essentiels, Veille Juridique
28.10.2024 08:24

Comment encadrer le déploiement de l'IA dans vos organisations ? Participez à notre webinaire exclusif !

Rejoignez-nous le 5 novembre 2024 pour un webinaire dédié à la gestion sécurisée et conforme de...


Cat: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Droit des Technologies Avancées, Les essentiels, Veille Juridique
23.10.2024 21:26

Questionner la conformité RGPD de son SIRH

Votre SIRH respecte-t-il les obligations du règlement général sur la protection des données ?


Cat: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Droit Social, Les essentiels, Veille Juridique
01.10.2024 11:14

Prix de la Donnée Data Ring : Altij soutient la recherche en intelligence artificielle

Data Ring récompense les meilleures innovations en IA et souveraineté numérique


Cat: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Droit des Technologies Avancées, Les essentiels, Veille Juridique
27.09.2024 14:45

La CJUE confirme les sanctions financières à l'encontre de Google et Apple

Europe : Apple et Google condamnés pour abus de position dominante et concurrence déloyale


Cat: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Droit des Technologies Avancées, Les essentiels, Veille Juridique
27.09.2024 11:24

La CNIL sanctionne CEGEDIM SANTÉ pour traitement illicite de données de santé

Traitement illégal de données de santé : la CNIL sanctionne CEGEDIM SANTÉ d'une amende de 800 000...


Cat: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Droit des Technologies Avancées, Informatique, libertés et vie privée , Les essentiels, Veille Juridique
22.08.2024 21:03

L’Europe se dote d'« usines d'IA » : un pas de géant pour l'innovation technologique ?

La Commission européenne s'apprête à lancer un ambitieux projet visant à établir des « usines d'IA...


Cat: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Droit des Technologies Avancées, Les essentiels, Veille Juridique
21.08.2024 15:33

Faut-il réglementer l'utilisation de l'intelligence artificielle ?

Et si l'IA, en amplifiant nos dilemmes éthiques, révélait notre incapacité à gérer nos propres...


Cat: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Droit des Technologies Avancées, Les essentiels, Veille Juridique
30.07.2024 11:44

Numérique : la stratégie du choc règlementaire

AI ACT, cloud computing, conformité RGPD, cybersécurité, NIS 2 : Notre équipe IT/DATA revient sur...


Cat: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Droit des Technologies Avancées, Les essentiels, Veille Juridique
voir les archives ->
< MEUBLÉS DE TOURISME : LA COMPENSATION ARRIVE À TOULOUSE !
23.11.2022 16:33 Il y a: 2 yrs
Categorie: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Droit des Technologies Avancées, Veille Juridique

Comptes inactifs : sanction pour ne pas avoir supprimé les données des utilisateurs


Supprimer les données des comptes utilisateurs au bout de deux ans d’inactivité et informer les utilisateurs des durées de conservation appliquées : tel est le message que réaffirme la CNIL dans sa délibération du 10 novembre 2022 sanctionnant la société Discord.

 

 

La société californienne Discord, qui fournit un service de conversation vidéo très populaire notamment dans le milieu du gaming et de l’ESport, a été condamnée par la CNIL à une amende de 800 000 euros pour avoir manqué à plusieurs obligations du RGPD.

 

Le régulateur a notamment reproché à Discord des non-conformités en matière de conservation des données personnelles des utilisateurs du service.

 

En l’occurrence, la société n’avait pas défini de politiques de conservation des données et par conséquent avait gardé des informations sur ses utilisateurs pendant plusieurs années après la dernière utilisation de leurs comptes.

 

Cette décision rappelle aux responsables de traitement la nécessité de définir des durées de conservation des données et de les appliquer en pratique.

 

 

Conservation des données et compte inactif

Lors de la procédure de contrôle, la CNIL s’est aperçue que Discord n’avait prévu aucune politique de conservation des données et qu’au sein de sa base de données il existait 2.474.000 comptes d’utilisateurs français n’ayant pas utilisé leur compte depuis plus de trois ans et 58.000 comptes non-utilisés depuis plus de cinq ans.

 

Dans sa délibération, la CNIL a rappelé son référentiel relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion des activités commerciales, comportant des recommandations détaillés sur les durées de conservations des données personnelles des clients et prospects. Dans le cas spécifique des comptes en ligne, la CNIL recommande que « les comptes soient considérés comme inactifs au bout de deux ans et soient supprimés à l’issue de ce délai, sauf si l’utilisateur exprime le souhait de maintenir son compte actif. »

 

Ainsi, le régulateur considère que Discord « ne saurait se prévaloir en l’espèce du maintien d’une relation contractuelle pour conserver indéfiniment des comptes d’utilisateurs totalement inactifs ».

 

 

Information des personnes sur les durées de conservation

La CNIL a par ailleurs reproché à la société Discord une insuffisance dans l’information des utilisateurs sur les durées de conservation de leurs données à caractère personnel.

 

En effet, elle considère que les informations à ce titre au sein de la politique de confidentialité de Discord « étaient énoncées de manière générique, sans être suffisamment explicites ». 

 

A titre d’illustration, la CNIL cite la phrase suivante de ladite politique de confidentialité : « Nous conservons généralement les données personnelles le temps nécessaire aux fins définies dans ce document. Pour nous débarrasser des données personnelles, nous pouvons les rendre anonymes, les supprimer ou prendre d’autres mesures nécessaires. Il est possible que des données persistent quelque temps sous la forme de copies de sauvegarde ou à des fins commerciales. »

 

Une telle explication est considérée par la CNIL comme un manquement à l’obligation d’information des personnes.  Il faut faire mention d’une durée de conservation précise ou fixer des critères permettant de déterminer la durée.

 

De plus, la CNIL a précisé que le fait de n’indiquer que des critères « n’est permis que lorsqu’il n’est pas possible de fournir une durée précise ».

 

Il s’agit ici d’une précision importante puisque de nombreux responsables de traitement ont tendance à ne fournir que des critères pour établir des durées au sein de leurs politiques de confidentialité.

 

 

Autres manquements

La CNIL a par ailleurs signalé d’autres points de non-conformité pouvant aider à orienter les responsables de traitements dans leurs pratiques, et notamment :

 

  • Désactivation de l’application : Sous Windows et Linux, l’application était paramétrée pour rester active même lorsque l’utilisateur clique sur l’icône « X ». Cette action mettait l’application en arrière-plan mais ne la fermait pas, créant ainsi un risque d’un enregistrement et d’une diffusion à l’insu de l’utilisateur, selon la CNIL. Par conséquent, la CNIL considère que la société Discord manque à l’obligation de garantir la protection des données par défaut (RGPD, article 25, § 2).

 

  • Robustesse des mots de passe : Lors de la création d’un compte sur Discord, un mot de passe composé de six caractères incluant des lettres et des chiffres était accepté.  La CNIL estime qu’au regard du volume de données personnelles à protéger, la robustesse des mots de passe était trop faible, contrairement aux exigences de sécurité de l’article 32 du RGPD.

 

  • Obligation d’analyse d’impact pour un traitement à grande échelle des données personnelles des enfants : La CNIL estime que la société Discord n’avait pas réalisé une « analyse d’impact relative à la protection des données », alors qu’elle en avait l’obligation en vertu de l’article 35 du RGPD. Malgré le fait que les activités en question ne figuraient pas sur la « liste des types d’opérations de traitement pour lesquelles une analyse relative à la protection des données est requise », publiée par la CNIL en 2018, une analyse d’impact était toutefois obligatoire « au regard du volume de données traitées par la société et de l’utilisation de ses services par des enfants ».  

 

 

À retenir :

Fixer une durée précise de conservation des données est indispensable, en tenant compte des recommandations de la CNIL notamment en matière de comptes en lignes inactifs.

 

Expliquer les durées de conservations appliquées au sein de sa politique de confidentialité.

 

L’équipe IP/IT - DATA

 

Notre équipe Data est à votre disposition pour vous aider à actualiser vos processus. Vous pouvez nous contacter via notre formulaire de contact.