Sur le manquement à l’obligation de définir et de respecter une durée de conservation des données proportionnée à la finalité du traitement [nos 26-35]

Aux termes de l’article 5, paragraphe 1, e), du RGPD, les données à caractère personnel doivent être  » conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées […] « .

La société n’a pas défini de politique de durée de conservation des données et son registre des activités de traitements ne mentionne aucune durée de conservation des données à caractère personnel traitées. Ainsi, les données sont conservées depuis plus de six ans, date à laquelle le service D. a été lancé, la société ne procédant à aucun effacement ou archivage régulier des données à l’issue d’une période définie. Elle note qu’il existe au sein de la base de données D. 2 474 000 millions de comptes d’utilisateurs français n’ayant pas utilisé leur compte depuis plus de trois ans et 58 000 comptes non utilisés depuis plus de cinq ans, sans que la société ait fourni d’explication ou de justification particulière quant à la conservation de ces comptes inactifs.

Le référentiel de la CNIL relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion des activités commerciales du 3 février 2022 précise – s’agissant des activités commerciales impliquant la création d’un compte en ligne par les clients – que les données ont vocation à être conservées jusqu’à la suppression du compte par l’utilisateur. Toutefois, il souligne qu’il est fréquent que les utilisateurs n’utilisent plus ces comptes sans pour autant les effacer, ce qui les conduit à perdurer indéfiniment. Dans ce cas, la Commission recommande que les comptes soient considérés comme inactifs au bout de deux ans et soient supprimés à l’issue de ce délai, sauf si l’utilisateur exprime le souhait de maintenir son compte actif.

En défense, la société indique qu’elle n’avait pas de politique écrite de conservation des données en février 2021, mais soutient qu’elle était toutefois en conformité avec l’article 5 du RGPD, puisqu’elle avait déterminé et mis en œuvre des durées de conservation directement codées dans le service D. en tant que tel. Elle indique que la durée de conservation mise en œuvre correspond à la durée de la relation contractuelle avec ses utilisateurs, ainsi qu’à des durées déterminées en fonction de ses obligations légales et de ses obligations en matière de sécurité qu’elle est tenue de respecter sans pour autant les préciser.

En outre, la société soulève l’inopposabilité des recommandations de la CNIL, en particulier du référentiel de la CNIL du 3 février 2022, lequel est postérieur au contrôle en ligne réalisé le 17 novembre 2020 et réserve l’hypothèse  » pour les activités commerciales qui impliquent la création d’un compte en ligne par les clients (par exemple, les sites de rencontres ou les réseaux sociaux), [où] les données peuvent être conservées jusqu’à la suppression du compte par l’utilisateur « . La société souligne également la nature spécifique du Service D., qui est un service de communication impliquant de maintenir les comptes dits inactifs dans l’intérêt même des utilisateurs.

La formation restreinte relève que, dans le cadre de la procédure de contrôle, la société a indiqué :  » Discord n’a pas de politique de conservation des données écrite. […] La société […] développe actuellement une politique de conservation des données pour supprimer des comptes inactifs lorsque la société peut conclure que l’utilisateur a abandonné son compte « . À cet égard, le registre des activités de traitements communiqué par la société lors de la procédure de contrôle ne mentionne aucune durée de conservation des données à caractère personnel traitées.

Les constatations effectuées par la délégation de contrôle de la CNIL confirment qu’il existait, au sein de la base de données DISCORD 2 474 000 comptes d’utilisateurs français n’ayant pas utilisé leur compte depuis plus de trois ans et 58 000 comptes non utilisés depuis plus de cinq ans.

La formation restreinte rappelle que l’obligation de ne conserver les données  » pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées […]  » résulte de l’article 5, paragraphe 1, e) du RGPD qui est une disposition impérative. La Commission considère de manière constante que la conservation de comptes en ligne créés gratuitement sans action des utilisateurs au-delà d’une certaine durée conduit à conserver des données de manière illimitée, en méconnaissance du RGPD. La formation restreinte considère que la société ne saurait se prévaloir en l’espèce du maintien d’une relation contractuelle pour conserver indéfiniment des comptes d’utilisateurs totalement inactifs, mais qui ne se seraient pas désinscrits, dès lors que le compte a été créé gratuitement et qu’un utilisateur inactif qui souhaiterait utiliser à nouveau le service peut le faire en recréant un compte à tout moment.

Ainsi, la formation restreinte considère que la société a méconnu ses obligations résultant de l’article 5, paragraphe 1, e) du RGPD, la nature du service offert aux utilisateurs étant inopérante.

Elle prend néanmoins acte de ce que la société DISCORD INC. dispose désormais d’une politique de durée de conservation des données à caractère personnel traitées écrite, laquelle prévoit notamment la suppression des comptes après deux ans d’inactivité de l’utilisateur. La formation restreinte considère dès lors que la société s’est mise en conformité avec les obligations découlant de l’article 5, paragraphe 1, e) du RGPD.

Sur le manquement à l’obligation d’information des personnes [nos 41-46]

L’article 13 du RGPD dresse la liste des informations devant être communiquées par le responsable de traitement aux personnes concernées lorsque leurs données à caractère personnel sont collectées directement auprès d’elles. L’article 13, paragraphe 2, du RGPD dispose qu’ » en plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée, au moment où les données à caractère personnel sont obtenues, les informations complémentaires suivantes qui sont nécessaires pour garantir un traitement équitable et transparent :

a) la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée […] « .

Les lignes directrices sur la transparence au sens du règlement (UE) 2016/679, venant éclairer les dispositions de l’article 13, précisent que  » la durée de conservation […] devrait être formulée de manière à ce que la personne concernée puisse évaluer, selon la situation dans laquelle elle se trouve, quelle sera la période de conservation s’agissant de données spécifiques ou en cas de finalités spécifiques. Le responsable du traitement ne peut se contenter de déclarer de façon générale que les données à caractère personnel seront conservées aussi longtemps que la finalité légitime du traitement l’exige. Le cas échéant, différentes périodes de stockage devraient être mentionnées pour les différentes catégories de données à caractère personnel et/ou les différentes finalités de traitement, notamment les périodes à des fins archivistiques « .

La rapporteure relève que les durées de conservation étaient énoncées de manière générique, sans être suffisamment explicites, puisqu’elles étaient précisées en ces termes :  » Nous conservons généralement les données personnelles le temps nécessaire aux fins définies dans ce document. Pour nous débarrasser des données personnelles, nous pouvons les rendre anonymes, les supprimer ou prendre d’autres mesures nécessaires. Il est possible que des données persistent quelque temps sous la forme de copies de sauvegarde ou à des fins commerciales « . La rapporteure conclut donc qu’un manquement à l’obligation d’information est caractérisé.

En défense, la société indique que l’article 13, paragraphe 2, a) du RGPD n’impose pas de fournir la durée de conservation en tant que telle, mais qu’il laisse au contraire la possibilité au responsable de traitement de fournir les  » critères utilisés pour déterminer cette durée « . Elle ajoute qu’afin de se conformer à cette obligation, la société DISCORD INC. a fourni aux utilisateurs lesdits critères, à savoir la durée nécessaire pour réaliser les finalités par ailleurs explicitement décrites dans la politique de confidentialité. Enfin, la société ajoute qu’elle a développé une note d’information qui fournit plus de détails en matière de conservation des données à caractère personnel et qu’un lien vers la page  » Combien de temps Discord conserve vos informations  » a été inclus directement dans la politique de confidentialité.

La formation restreinte considère qu’au moment du contrôle en ligne effectué, les durées de conservation étaient énoncées de manière générique et n’étaient pas suffisamment explicites. L’information était lacunaire s’agissant des durées de conservation puisqu’elle ne comportait ni durée précise, ni critères permettant de déterminer ces durées. En tout état de cause, la formation restreinte rappelle que le recours aux  » critères utilisés pour déterminer cette durée  » n’est permis que lorsqu’il n’est pas possible de fournir une durée précise. Or, tel n’est pas le cas en l’espèce s’agissant des traitements mis en œuvre par la société. Il en résulte que les personnes ne pouvaient pas connaître les durées de conservation établies par la société DISCORD INC., alors que cette information est importante afin de garantir  » un traitement équitable et transparent  » puisqu’elle contribue à assurer pour les utilisateurs la maîtrise sur le traitement de leurs données.

Dès lors, la formation restreinte considère que la société a méconnu ses obligations résultant de l’article 13, paragraphe 2, a) du RGPD.

(CNIL, Délibération de la formation restreinte no SAN-2022-020 du 10 novembre 2022 concernant la société D. INC, Nos 26-35, 41-46)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)