Le 2 novembre 2022, une faille de sécurité s’est produite sur le forum de jeux vidéo de Shanghai Moonton Technology Co. Ltd. (responsable de traitement). Le responsable de traitement est une société chinoise de jeux vidéo dont le siège est à Shanghai et qui a été rachetée par Bytedance en mars 2021.

La violation a touché 442 personnes concernées espagnoles et comprenait les noms d’utilisateur sur le forum du responsable du traitement, les numéros d’identification des utilisateurs, la fréquence de visite de chaque personne concernée sur le forum, le sexe déclaré des personnes concernées, les adresses IP, les adresses e-mail et les activités des personnes concernées sur le forum. y compris les publications et les interactions. Le jour de la violation, le 2 novembre 2022, les données personnelles obtenues lors de la violation ont été publiées sur un site Internet tiers.

Dans son enquête, l’autorité espagnole de protection des données espagnoles (APD ; Agencia Española de Protección de Datos) a constaté que le contrôleur avait recours à des modérateurs bénévoles, non employés ou sous-traitants, pour gérer ses forums. Les modérateurs sont embauchés après une période d’essai de deux semaines et sont tenus de respecter les conditions d’utilisation et un code de conduite. Le responsable du traitement a donné aux modérateurs l’accès aux données personnelles des utilisateurs afin de surveiller les forums et, si nécessaire, de réviser ou d’éliminer les messages, de bloquer l’accès des utilisateurs au forum, de répondre aux utilisateurs ou d’approuver de nouveaux utilisateurs. Cet accès comprenait des données disponibles pour tous les utilisateurs du forum, notamment les noms d’utilisateur des personnes concernées, les identifiants d’utilisateur, le nombre de visites sur le forum, le sexe signalé et les activités sur le forum. En outre, les modérateurs ont eu accès à des données personnelles qui n’étaient pas déjà accessibles au public à tous les utilisateurs du forum : adresses e-mail des personnes concernées, heure et date de l’activité la plus récente sur le forum et adresses IP.

L’APD, dans une décision EXP202213323 du 19.01.2024 présentée, commentée et annexée sur gdprhub (https://gdprhub.eu/index.php?title=AEPD_(Spain)_-_EXP202213323&mtc=today), a notamment considéré, concernant le principe de minimisation des données, que le responsable du traitement partageait plus de données personnelles des personnes concernées que nécessaire avec les modérateurs du forum. Elle a précisé qu’il n’était pas nécessaire de permettre aux modérateurs d’accéder à l’ensemble de ces données personnelles – notamment les adresses e-mail et IP – pour modérer les forums. Ces données n’étaient pas pertinentes pour les tâches que le responsable du traitement envisageait pour les modérateurs.

Me Philippe Ehrenström, avocat, LLM