Juridique

Discord sanctionnée de 800 000 euros pour cinq manquements au RGPD

La CNIL reproche à Discord de ne pas avoir respecté des obligations prévues par le règlement général sur la protection des données. Cinq manquements sont listés, notamment sur les « durées de conservation et de sécurité des données personnelles ». Deux autres manquements ont été relevés, mais finalement pas retenus après des explications de la société.

La CNIL a publié un communiqué, mais aussi sa délibération bien plus complète, qui permet de mieux cerner les tenants et aboutissants de son enquête. La Commission rappelle que Discord est un service « populaire parmi la communauté des joueurs de jeux vidéo » et qu’il est « devenu un réseau social complet avec un large éventail de façons d’interagir ». La Commission ajoute que cette application « a connu une forte popularité pendant le confinement lié à la pandémie de Covid-19, en particulier auprès d’un jeune public ».

C’était notamment le cas en France lors des confinements avec la mise en place de la « continuité pédagogique ». Enseignants, parents et élèves n’étaient pas prêts, quoi qu’en disait le ministre de l’époque et, dans l’urgence, des élèves ont apporté leur aide aux professeurs en mettant en place des classes virtuelles sur les outils qu’ils connaissaient bien, notamment Discord. Les questions autour du RGPD étaient alors passées au second plan.

Quoi qu’il en soit, la CNIL a décidé d’effectuer un contrôle en ligne du site et de l’application mobile de Discord le 17 novembre 2020. Le 29 décembre de la même année, une mission de contrôle sur pièces était lancée, avec l’envoi d’un questionnaire à la société. Les 5 et 12 février 2021, Discord a renvoyé « des éléments de réponse à la CNIL ». Le ping-pong a continué avec une demande d’éléments complémentaires le 8 mars, puis des réponses les 23 et 24 mars.

Presque un an plus tard, le 25 février 2022, la rapporteure de la CNIL « a fait notifier à la société un rapport détaillant les manquements au RGPD qu’elle estimait constitués en l’espèce ». Le rapport proposait de prononcer une amende administrative et de la rendre publique, « mais qu’il ne soit plus possible d’identifier nommément la société à l’expiration d’un délai de deux ans à compter de sa publication ».

En savoir plus

Veille-cyber

Share
Published by
Veille-cyber

Recent Posts

Le règlement DORA : un tournant majeur pour la cybersécurité des institutions financières

Le règlement DORA : un tournant majeur pour la cybersécurité des institutions financières Le 17…

3 heures ago

Cybersécurité des transports urbains : 123 incidents traités par l’ANSSI en cinq ans

L’Agence nationale de la sécurité des systèmes d'information (ANSSI) a publié un rapport sur les…

3 heures ago

Directive NIS 2 : Comprendre les obligations en cybersécurité pour les entreprises européennes

Directive NIS 2 : Comprendre les nouvelles obligations en cybersécurité pour les entreprises européennes La…

2 jours ago

NIS 2 : entre retard politique et pression cybersécuritaire, les entreprises dans le flou

Alors que la directive européenne NIS 2 s’apprête à transformer en profondeur la gouvernance de…

3 jours ago

Quand l’IA devient l’alliée des hackers : le phishing entre dans une nouvelle ère

L'intelligence artificielle (IA) révolutionne le paysage de la cybersécurité, mais pas toujours dans le bon…

4 jours ago

APT36 frappe l’Inde : des cyberattaques furtives infiltrent chemins de fer et énergie

Des chercheurs en cybersécurité ont détecté une intensification des activités du groupe APT36, affilié au…

4 jours ago

This website uses cookies.