La CNIL inflige à Discord une amende de 800 000 € pour non-respect du RGPD

Pour Discord, le couperet est tombé. La CNIL, la Commission nationale de l'informatique et des libertés, a décidé d'infliger une amende de 800 000 € au service de VoIP. En cause, des manquements constatés à plusieurs obligations du RGPD, notamment sur la sécurité des données personnelles des utilisateurs.

Alors que les joueurs Playstation attendent toujours de pouvoir utiliser Discord sur PS5, le célèbre service de VoIP vient de se faire remonter les bretelles par la CNIL. En effet, la Commission nationale de l'informatique et des libertés a annoncé ce jeudi 17 novembre avoir infligé une amende de 800 000 € à Discord. Dans son communiqué officiel, l'institution précise que l'entreprise américaine est coupable de plusieurs manquements à des obligations prévues par le RGPD (Règlement général de protection des données).

La CNIL précise que ce montant a été déterminé “au regard des manquements retenus, du nombre de personnes concernées, mais aussi en tenant compte des efforts réalisés par la société pour se mettre en conformité tout au long de la procédure”. Mais justement, quels sont les écarts dont est accusé Discord ?

Des comptes inactifs conservés pendant des années

Tout d'abord, la CNIL a constaté lors de son enquête que le service ne supprimait pas les comptes des utilisateurs inactifs. En outre, Discord ne disposait pas d'une politique claire concernant le stockage et la conservation des données des utilisateurs. Après examen, les autorités ont découvert que les données de 2 474 000 comptes d'utilisateurs français inactifs depuis trois ans étaient toujours sauvegardées sur la base de données de Discord. Même constat pour 58 000 comptes en sommeil depuis 5 ans.

Sur ce même domaine, la CNIL reproche également à Discord de pas fournir aux utilisateurs d'informations exactes sur la durée de conservation des données personnelles (violation de l'article 13 du RGPD). Lors de l'enquête, le service s'est toutefois mis en conformité en intégrant une politique manuscrite claire et détaillée, précisant que les données des comptes sont supprimées automatiquement après deux ans d'inactivité.

A lire également : Discord ressuscite les forums pour les joueurs nostalgiques

Fermer l'appli ne déconnecte pas d'un salon vocal

Autre grief, la CNIL affirme que Discord a manqué cruellement à son obligation de garantir la protection des données par défaut. Explications. L'institution a constaté avec effarement que lorsqu'un utilisateur connecté à un salon vocal fermait l'application Discord en cliquant sur l'icône X sur Windows, l'appli ne se fermait pas totalement.

Au contraire, elle restait active en arrière-plan et cerise sur le gâteau, l'utilisateur n'était pas déconnecté du salon vocal. “Le comportement de Discord est différent et peut conduire à ce que des utilisateurs soient entendus par les autres membres présents dans le salon vocal alors qu'ils pensaient l'avoir quitté”, écrit la CNIL. Désormais, une fenêtre pop-up apparaît lors de la 1re fermeture pour prévenir l'utilisateur que l'appli fonctionne toujours en arrière-plan. Notez qu'il est possible de modifier ce paramètre depuis.

Discord exigeait des mots de passe trop faibles

On poursuit ce tour d'horizon des reproches envers Discord avec une exigence bien trop faible autour des mots de passe. En effet, la CNIL estime que la “politique de gestion de mots de passe de Discord n'était pas suffisamment robuste et contraignante pour garantir la sécurité des comptes des utilisateurs”. Comme le précise la CNIL, lors de la création d'un compte Discord, un mot de passe composé de six caractères seulement convient. Insuffisant pour la CNIL. Désormais, les utilisateur devront créer un mot de passe dépassant les huit caractères minimum, avec la présence d'au moins trois catégories de caractères différents (minuscules, majuscules, chiffres, caractères spéciaux). Par ailleurs, après dix connexions ratées, la résolution d'un captcha est exigée.

Venons-en maintenant au dernier point. Un manquement à l'obligation de réaliser une analyse d'impact relative à la protection des données (article 35 du RGPD). Ici, rien de compliqué, Discord n'a pas jugé bon de procéder à cette analyse. Une erreur aux yeux de la CNIL, dans la mesure où Discord traite une énorme quantité de données, dont certaines appartenant à des mineurs. En guise de bonne foi, la société américaine a finalement réalisé deux tests. A l'issue des analyses, il a été confirmé que le traitement des données de Discord “n'est pas susceptible d'engendrer un risque élevé pour les droits et les libertés des personnes”.