Comptes inactifs : sanction pour ne pas avoir supprimé les données des utilisateurs

Supprimer les données des comptes utilisateurs au bout de deux ans d’inactivité et informer les utilisateurs des durées de conservation appliquées : tel est le message que réaffirme la CNIL dans sa délibération du 10 novembre 2022 sanctionnant la société Discord.

La société californienne Discord, qui fournit un service de conversation vidéo très populaire notamment dans le milieu du gaming et de l’ESport, a été condamnée par la CNIL à une amende de 800 000 euros pour avoir manqué à plusieurs obligations du RGPD.

Le régulateur a notamment reproché à Discord des non-conformités en matière de conservation des données personnelles des utilisateurs du service.

En l’occurrence, la société n’avait pas défini de politiques de conservation des données et par conséquent avait gardé des informations sur ses utilisateurs pendant plusieurs années après la dernière utilisation de leurs comptes.

Cette décision rappelle aux responsables de traitement la nécessité de définir des durées de conservation des données et de les appliquer en pratique.

Conservation des données et compte inactif

Lors de la procédure de contrôle, la CNIL s’est aperçue que Discord n’avait prévu aucune politique de conservation des données et qu’au sein de sa base de données il existait 2.474.000 comptes d’utilisateurs français n’ayant pas utilisé leur compte depuis plus de trois ans et 58.000 comptes non-utilisés depuis plus de cinq ans.

Dans sa délibération, la CNIL a rappelé son référentiel relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion des activités commerciales, comportant des recommandations détaillés sur les durées de conservations des données personnelles des clients et prospects. Dans le cas spécifique des comptes en ligne, la CNIL recommande que « les comptes soient considérés comme inactifs au bout de deux ans et soient supprimés à l’issue de ce délai, sauf si l’utilisateur exprime le souhait de maintenir son compte actif. »

Ainsi, le régulateur considère que Discord « ne saurait se prévaloir en l’espèce du maintien d’une relation contractuelle pour conserver indéfiniment des comptes d’utilisateurs totalement inactifs ».

Information des personnes sur les durées de conservation

La CNIL a par ailleurs reproché à la société Discord une insuffisance dans l’information des utilisateurs sur les durées de conservation de leurs données à caractère personnel.

En effet, elle considère que les informations à ce titre au sein de la politique de confidentialité de Discord « étaient énoncées de manière générique, sans être suffisamment explicites ». 

A titre d’illustration, la CNIL cite la phrase suivante de ladite politique de confidentialité : « Nous conservons généralement les données personnelles le temps nécessaire aux fins définies dans ce document. Pour nous débarrasser des données personnelles, nous pouvons les rendre anonymes, les supprimer ou prendre d’autres mesures nécessaires. Il est possible que des données persistent quelque temps sous la forme de copies de sauvegarde ou à des fins commerciales. »

Une telle explication est considérée par la CNIL comme un manquement à l’obligation d’information des personnes.  Il faut faire mention d’une durée de conservation précise ou fixer des critères permettant de déterminer la durée.

De plus, la CNIL a précisé que le fait de n’indiquer que des critères « n’est permis que lorsqu’il n’est pas possible de fournir une durée précise ».

Il s’agit ici d’une précision importante puisque de nombreux responsables de traitement ont tendance à ne fournir que des critères pour établir des durées au sein de leurs politiques de confidentialité.

Autres manquements

La CNIL a par ailleurs signalé d’autres points de non-conformité pouvant aider à orienter les responsables de traitements dans leurs pratiques, et notamment :

• Désactivation de l’application : Sous Windows et Linux, l’application était paramétrée pour rester active même lorsque l’utilisateur clique sur l’icône « X ». Cette action mettait l’application en arrière-plan mais ne la fermait pas, créant ainsi un risque d’un enregistrement et d’une diffusion à l’insu de l’utilisateur, selon la CNIL. Par conséquent, la CNIL considère que la société Discord manque à l’obligation de garantir la protection des données par défaut (RGPD, article 25, § 2).

• Robustesse des mots de passe : Lors de la création d’un compte sur Discord, un mot de passe composé de six caractères incluant des lettres et des chiffres était accepté.  La CNIL estime qu’au regard du volume de données personnelles à protéger, la robustesse des mots de passe était trop faible, contrairement aux exigences de sécurité de l’article 32 du RGPD.

• Obligation d’analyse d’impact pour un traitement à grande échelle des données personnelles des enfants : La CNIL estime que la société Discord n’avait pas réalisé une « analyse d’impact relative à la protection des données », alors qu’elle en avait l’obligation en vertu de l’article 35 du RGPD. Malgré le fait que les activités en question ne figuraient pas sur la « liste des types d’opérations de traitement pour lesquelles une analyse relative à la protection des données est requise », publiée par la CNIL en 2018, une analyse d’impact était toutefois obligatoire « au regard du volume de données traitées par la société et de l’utilisation de ses services par des enfants ».  

À retenir :

Fixer une durée précise de conservation des données est indispensable, en tenant compte des recommandations de la CNIL notamment en matière de comptes en lignes inactifs.

Expliquer les durées de conservations appliquées au sein de sa politique de confidentialité.

L’équipe IP/IT - DATA

Notre équipe Data est à votre disposition pour vous aider à actualiser vos processus. Vous pouvez nous contacter via notre formulaire de contact.