Violation du RGPD : la Cnil met Discord à l'amende

Tempête sur la plateforme de discussion Discord. Sur la base des constatations effectuées lors de contrôles, la formation restreinte – organe de la Cnil chargé de prononcer les sanctions – a considéré que la société avait manqué à plusieurs obligations prévues par le règlement général sur la protection des données (RGPD). Résultat : Discord écope d’une amende de 800 000 euros rendue publique. « Le montant de cette amende a été décidé au regard des manquements retenus, du nombre de personnes concernées, mais aussi en tenant compte des efforts réalisés par la société pour se mettre en conformité tout au long de la procédure et du fait que son modèle d’affaires n’est pas fondé sur l’exploitation des données personnelles » détaille la Cnil.

Pour rappel, Discord est une plateforme de discussion, initialement utilisée par les joueurs, a vu son nombre d’utilisateurs actifs mensuels monter en flèche ces dernières années, culminant ainsi à 150 millions (chiffre de novembre 2021). Elle propose un service de voix sur IP et de messagerie instantanée, dans laquelle les utilisateurs peuvent créer des serveurs, des salons textuels, vocaux et vidéos. La société, dont le siège social est situé aux États-Unis, a ainsi réussi à faire de sa plateforme « un outil quotidien de communication » comme l’indique son dirigeant et fondateur Jason Citron.

Plusieurs manquements sanctionnés

La Cnil rappelle dans son communiqué les différents manquements relevés dans le cadre de la procédure de contrôle. Est d’abord cité un manquement à l’obligation de définir et de respecter une durée de conservation des données adaptée à l’objectif visé (article 5.1.e du RGPD). La société a en effet indiqué ne pas avoir de politique écrite de conservation des données. Cependant, la Cnil indique « qu’il existait, au sein de la base de données Discord, 2 474 000 comptes d’utilisateurs français n’ayant pas utilisé leur compte depuis plus de trois ans et 58 000 comptes non utilisés depuis plus de cinq ans ».

La société s’est toutefois mise en conformité avec cette obligation du RGPD dans le cadre de la procédure, et dispose désormais d’une politique écrite de durée de conservation des données, qui prévoit notamment la suppression des comptes après deux ans d’inactivité de l’utilisateur. Le manquement à l’obligation d’information (article 13 du RGPD) est également cité. Au moment du contrôle en ligne effectué, l’information était lacunaire concernant les durées de conservation : elle ne comportait ni durées précises, ni critères permettant de déterminer celles-ci. Un point sur lequel la plateforme s’est pliée rapidement.

Signifier clairement aux utilisateurs s’ils quittent ou non l’application

A également été noté un manquement à l’obligation de garantir la protection des données par défaut (article 25.2 du RGPD). En effet, lorsqu’un utilisateur connecté à un salon vocal ferme la fenêtre de l’application Discord en cliquant sur l’icône « X » située en haut à droite sous Windows, il ne fait en réalité que mettre l’application en arrière-plan et reste connecté. Pourtant, sous Windows, le fait de cliquer sur « X » en haut à droite de la dernière fenêtre visible d’une application permet de la quitter pour la grande majorité des applications. En clair, cela signifie que des utilisateurs peuvent être entendus par les autres membres d’un salon vocal sans le savoir.

En ce sens, il a été considéré que Discord doit informer spécifiquement l’utilisateur en lui permettant de prendre conscience que ses paroles continuaient à être transmises et entendues par des tiers. Pour y répondre, une fenêtre « pop-up » a été mise en place permettant, lorsque la fenêtre a été fermée pour la première fois, d’alerter les personnes connectées à un salon vocal que l’application Discord est toujours en fonctionnement et que ce paramètre peut directement être modifié par l’utilisateur.

Plus de robustesse sur la gestion des mots de passe

Au moment du contrôle en ligne, lors de la création d’un compte sur Discord, un mot de passe composé de six caractères incluant des lettres et des chiffres était accepté, indique la Cnil. Considérée comme pas suffisamment robuste et contraignante, la politique de gestion des mots de passe de Discord ne garantit pas la sécurité des comptes des utilisateurs. Cela constitue un manquement à l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD).

La société a pris des mesures en ce sens et exige désormais des utilisateurs qu’ils définissent un mot de passe de 8 caractères minimum, avec au moins trois des quatre catégories de caractères (minuscules, majuscules, chiffres et caractères spéciaux) et, après dix tentatives de connexion non abouties, la société exige la résolution d’un captcha (question-réponse, par exemple une case à cocher ou une sélection d’images).

L’obligation d’effectuer une analyse d’impact

Enfin, Discord a été rappelée à l’ordre sur l’obligation d’effectuer une analyse d’impact relative à la protection des données (article 35 du RGPD). Considérant que cela n’était pas nécessaire dans un premier temps, elle a toutefois répondu positivement à la demande de la Cnil et a réalisé deux analyses d’impact pour son traitement lié a la plateforme Discord et à ses services essentiels, qui ont conclu que le traitement n’est pas susceptible d’engendrer un risque élevé pour les droits et libertés des personnes.