Bienvenue en France à Discord : 800 000 € d’amende de la part de la Cnil

Alors que la société américaine Discord entend développer ses services en France, la Cnil annonce qu’elle vient de lui infliger 800 000 € d’amende. Il est reproché à Discord d’avoir manqué à plusieurs obligations du RGPD, notamment en matière de durée de conservation et de sécurité des données personnelles.

A sa décharge, la Cnil ne cible pas que les sociétés américaines, elle ne chôme pas puisqu’elle contrôle en ce moment La Poste à la suite de plaintes anciennes, de quoi mettre sous pression les équipes de cette vénérable institution, en particulier côté courrier postal.

Un service de communication sur internet dans des salons virtuels

Discord pour sa part est un service de communication, à la fois en voix et vidéo sur internet et de messagerie instantanée, dans lequel les utilisateurs peuvent créer des serveurs, des salons textuels, vocaux et vidéos. La Cnil reconnaît que l’activité de Discord ne repose pas sur l’exploitation des données personnelles.

Discord est en particulier beaucoup utilisé par la marque de luxe Gucci, une des Maisons du groupe français Kering. Les NFT (objets numériques) de Gucci sont accessibles via Gucci Vault, l’espace expérimental de Gucci où l’on se connecte par la messagerie et la plateforme numérique de Discord.

Lors du contrôle, Discord a indiqué ne pas avoir de politique écrite de conservation de ses données. Or, la Cnil a vu qu’il existait, au sein de la base de données de Discord 2,4 millions de comptes d’utilisateurs français n’ayant pas utilisé leur compte depuis plus de 3 ans et 58 000 comptes non utilisés depuis plus de cinq ans. Discord a donc manqué à l’obligation de définir et de respecter une durée de conservation des données adaptée à l’objectif visé (article 5.1.e du RGPD).

Discord s’est mise en conformité durant la procédure puisqu’elle dispose désormais d’une politique écrite de durée de conservation des données, qui prévoit notamment la suppression des comptes après deux ans d’inactivité de l’utilisateur.

Des informations lacunaires sur les durées de conservation des données

Autre point, au moment du contrôle en ligne effectué, Discord ne délivrait qu’une information lacunaire concernant les durées de conservation. Cette information ne comportait ni durées précises, ni critères permettant de déterminer celles-ci. C’est un manquement à l’obligation d’information (article 13 du RGPD). La société s’est mise en conformité au cours de la procédure sur ce point également.

Le mode de fonctionnement de l’application Discord a aussi été mis en cause par la Cnil car il ne garantit pas une protection par défaut de l’utilisateur. Lorsqu’un utilisateur est connecté à un salon vocal et qu’il ferme la fenêtre de l’application Discord en cliquant sur l’icône « X » située en haut à droite sous Microsoft Windows, il ne fait en réalité que mettre l’application en arrière-plan. Il reste connecté dans le salon vocal. Or, habituellement sous Microsoft Windows, le fait de cliquer sur « X » en haut à droite de la dernière fenêtre visible d’une application permet de la quitter pour la grande majorité des applications.

Ce comportement de Discord peut conduire à ce que des utilisateurs soient entendus par les autres membres présents dans le salon vocal alors qu’ils pensaient l’avoir quitté, s’inquiète la Cnil. Il fallait que Discord informe spécifiquement l’utilisateur en lui permettant de prendre conscience que ses paroles continuent à être transmises et entendues par des tiers.

Adaptation de son logiciel par Discord

Dès lors, Discord a mis en place une fenêtre « pop-up » permettant, lorsque la fenêtre a été fermée pour la première fois, d’alerter les personnes connectées à un salon vocal que l’application Discord est toujours en fonctionnement et que ce paramètre peut directement être modifié par l’utilisateur. Il s’agissait dans ce cadre de l’obligation de garantir la protection des données par défaut (article 25.2 du RGPD).

Par ailleurs, la Cnil considère que la politique de gestion des mots de passe de Discord n’était pas suffisamment robuste et contraignante pour garantir la sécurité des comptes des utilisateurs. Au moment du contrôle en ligne, lors de la création d’un compte sur Discord, un mot de passe composé de six caractères incluant des lettres et des chiffres était accepté. Il s’agit d’un manquement à l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD).

Discord exige désormais des utilisateurs qu’ils définissent un mot de passe de huit caractères minimum, avec au moins trois des quatre catégories de caractères (minuscules, majuscules, chiffres et caractères spéciaux). Et, après dix tentatives de connexion non abouties, la société exige la résolution d’un captcha (question-réponse, par exemple une case à cocher ou une sélection d’images).

Deux analyses d’impact qui montrent une absence de risque élevé

Dernier point, il est reproché à Discord d’avoir considéré qu’il n’était pas nécessaire de réaliser une analyse d’impact relative à la protection des données. La Cnil estime que la société aurait dû procéder à une telle analyse d’impact, au regard du volume de données traitées par la société et de l’utilisation de ses services par des mineurs. Il s’agit d’un manquement à l’obligation d’effectuer une analyse d’impact relative à la protection des données (article 35 du RGPD). Suite à cette demande, Discord a réalisé deux analyses d’impact durant la procédure pour son traitement lié au service Discord et à ses services essentiels, qui ont conclu que le traitement n’est pas susceptible d’engendrer un risque élevé pour les droits et libertés des personnes.