800 000€ d’amende pour Discord, la CNIL sanctionne

Contexte 

Discord est un service de messagerie instantanée permettant à ses utilisateurs d’échanger et de discuter par message, visio et vocaux. La plateforme permet également la création de salons et serveurs. Utilisée en distanciel et plébiscitée par les streamers, Discord est condamné par la CNIL pour plusieurs manquements au RGPD. 

En effet, après plusieurs contrôles réalisés par l’autorité de contrôle, le constat est plutôt lourd, et 5 manquements sont à relever. 

Les manquements au RGPD relevés

L’absence de durée de conservation

La CNIL relève que Discord ne respectait pas les durées de conservation des données. Concrètement, il s’agissait de près de 2 millions de comptes d’utilisateurs inactifs depuis 3 ans dont les données étaient conservées. Ce comportement est contraire à l’article 5 du RGPD, qui prévoit que les données personnelles d’utilisateurs doivent être conservées dans une durée déterminée et raisonnable. 

Absence de l’obligation d’information 

Et si Discord ne supprimait pas les données de ses anciens utilisateurs, la plateforme ne mettait pas à disposition des utilisateurs une politique écrite relative à ces durées de conservation. Les utilisateurs ne savaient pas combien de temps étaient conservées leurs données, n’y même quels critères justifiaient leur durée de conservation. Ce comportement est contraire à l’article 13 du RGPD. 

Absence de protection des données par défaut

La CNIL a constaté que lorsque l’utilisateur, connecté en salon vocal, fermait l’application via la petite croix ❌, l’application ne se fermait pas et il continuait d’être entendu dans le salon vocal. La CNIL considère que ce comportement peut mener à l’erreur : n’importe quel internaute aurait tendance à penser que fermer une application via la petite croix permettrait la déconnexion. Ce comportement est contraire à l’article 25.2 du RGPD.

Manquement à l’obligation d’assurer la sécurité des données personnelles

Ce manquement concerne la politique de mots de passe mise en place par Discord. En effet, les utilisateurs étaient amenés à créer un mot de passe composé de 6 caractères, avec des chiffres et des lettres. Ce n’est pas la première fois que la CNIL condamne un tel comportement. En effet, à plusieurs reprises, la CNIL a sanctionné fermement ce genre de comportement, et encourage vivement les sociétés à mettre en place une politique de mots de passe robuste. Ce motif se réfère à l’article 32 du RGPD. 

L’absence d’analyse d’impact 

La CNIL reproche à Discord de ne pas avoir effectué d’analyse d’impact. En effet, devant le nombre de personnes utilisant l’application, et notamment le nombre de mineurs concernés, il aurait été pertinent de réaliser une analyse d’impact, conformément à l’article 35 du RGPD.

Et maintenant ?

Discord semble avoir retenu la leçon, et la CNIL a souligné ces efforts. Désormais, Discord prévoit la suppression des comptes après 2 ans d’inactivité de la part d’un utilisateur, et a modifié sa politique écrite de conservation des données. Discord a également mis en place un pop up informant les utilisateurs qu’ils sont toujours connectés au salon vocal. La politique de mot de passe a elle aussi été modifiée : les utilisateurs doivent désormais définir et utiliser un mot de passe robuste et la résolution d’un captcha au bout de 10 tentatives infructueuses. Enfin, Discord a réalisé deux analyses d’impact concluantes qui ont révélé que les traitements opérés ne constituaient pas de risques élevés pour les droits et libertés des personnes. 

En effet, la CNIL justifie la minimisation de la sanction au regard des efforts de coopération et de mise en conformité exercés par le site américain. De plus, la CNIL soulève que le business model de Discord n’est pas basé sur l’exploitation des données personnelles de leurs utilisateurs.