Spy.pet est un « service » qui utilise la technique du « scraping » pour extraire les données des utilisateurs de Discord sans leur consentement.
Gamers, PME, adolescents ou encore cercle familial, Discord et ses 150 millions d'utilisateurs actifs à travers le monde est la plateforme de messagerie instantanée la plus populaire. Véritable fourmilière d'utilisateurs qui vont et viennent entre différents serveurs privés ou publics, on trouve de tout sur Discord : discussions, fichiers, logiciels, documents, etc.
Et parfois, on oublie dans cette frénésie que Discord n'est rien d'autre qu'une immense arène ouverte aux quatre vents sur Internet au sein de laquelle tout ce qui est échangé est potentiellement accessible à quiconque le souhaite.
C'est exactement ce dont semble profiter un nouveau « service » depuis octobre 2023, selon une enquête révélée par le site 404 Media. Spy.pet pour ne pas le citer, permet à ceux qui le souhaitent d'explorer - moyennant finances - les données de Discord sur 14 000 serveurs. Le tout en s'asseyant sur le RGPD et la morale.
Spy.Pet utilise le système public de Discord pour monétiser son fonctionnement
On a tendance à l'oublier, mais Discord est essentiellement un IRC, pour Internet Chat Relay, un système qui permet à n'importe qui de discuter presque en temps réel avec des inconnus à l'autre bout de la planète et d'échanger des idées, mais aussi des logiciels, ou encore des documents et des photos. En d'autres termes, quiconque disposant de bons outils, comme des robots, peut accéder à l'ensemble des données hébergées sur Discord, puisqu'elles sont en partie publiques et stockées. C'est d'ailleurs ce stockage qui permet aux utilisateurs de Discord d'effectuer des recherches sur les canaux de discussion.
Ces données accessibles, dont certains peuvent être sensibles, sont devenues la proie d'un « service », si l'on peut le qualifier ainsi. Baptisé Spy.Pet , il a su tirer parti de la nature ouverte de Discord. Il suit plus de 14 000 serveurs, a un historique de plus de 627 millions d'utilisateurs et compte près de 4 milliards de messages enregistrés dans ses archives. Non seulement il utilise des robots « scrapeurs », qui « grattent » les données des utilisateur sans leur consentement, égratignant également au passage les CGU de Discord, mais lorsqu'un utilisateur se rend compte de la « séquestration » de ses données par Spy.pet et tente de demander leur suppression (via un lien à sa disposition sur le site), il est tout bonnement redirigé vers une vidéo humoristique, indiquant clairement que la suppression de l'historique de discussion n'est pas une option.
Et comme si cela ne suffisait pas, la plateforme propose également un package « Entreprise », qui propose aux intéressés d'utiliser ces données grattées pour former des modèles d'IA.
Enfin, et comme tout travail mérite salaire, l'accès à ces données n'est pas gratuit. On nage en plein Pay-Per-View puisque pour voir ces données, il faudra débourser quelques crypto-monnaies. Un système de paiement dont la transparence reste encore à démontrer.
Une violation manifeste du RGPD et un préjudice moral lourd pour des utilisateurs impuissants
Spy.pet ne s'embarrasse pas du RGPD, dont il viole au moins 3 articles, portant essentiellement sur le consentement et le droit à l'oubli. En effet, les robots gratteurs collectent les données personnelles des utilisateurs de Discord sans leur consentement, celui des propriétaires des serveurs ou de Discord, parfois même sans qu'ils aient connaissance qu'il ne s'agit pas d'un crime à proprement parler.
L'article 6 du RGPD stipule que le traitement des données personnelles doit être légitime, ce qui signifie qu'il doit être basé sur le consentement ou la nécessité. Spy.pet, en récupérant les données sans le consentement de l'utilisateur, viole directement cette exigence.
Ensuite, l'article 17 du RGPD prévoit le droit à l'effacement, AKA « droit à l'oubli ». Cela donne aux individus le droit de demander la suppression de leurs données personnelles. Le fait que Spy.pet traite de manière désinvolte les demandes de suppression en redirigeant vers le fameux mème de Spider Man « Are You Serious? » montre non seulement un mépris pour cette loi, mais aussi un manque de respect pour les préoccupations des individus en matière de vie privée.
Enfin, l'article 8 du RGPD concerne les conditions de consentement des enfants pour les services de la société de l'information. Étant donné que les utilisateurs de Discord peuvent n'avoir que 13 ans, le stockage des données de mineurs sans le consentement des parents complique encore davantage le statut juridique de Spy.pet.
Au-delà de la légalité, il y a une dimension éthique à considérer. La collecte aveugle et la monétisation de données personnelles peuvent entraîner de réels préjudices, affectant la vie sociale, les relations personnelles et même la santé mentale des personnes. Les informations collectées et vendues peuvent être utilisées à des fins allant d’inoffensives à profondément malveillantes, y compris le harcèlement, la traque ou l’exploitation commerciale sans le consentement ou la connaissance des personnes impliquées.
De gros dégâts que, à l'heure où nous écrivons ces lignes, Discord a pris en main en ouvrant une enquête. Car la plateforme préférée des gamers s'est déjà fait taper sur les doigts par la CNIL en 2022 pour des manquements au RGPD sur… la protection des données personnelles de ses utilisateurs. Gageons que l'amende de 800 000 euros infligée à cette occasion servira de leçon à Discord qui saura mettre un terme aux agissements opportunistes de Spy.pet. En attendant, si vous utilisez Discord, hélas, vous ne pouvez que subir une violation potentielle de vos données et de votre consentement. Mais vous pouvez tout de même signaler d'éventuels abus sur la plateforme Pharos ou contacter Discord et si cela ne suffit pas, saisir la CNIL, notamment concernant le droit à l'oubli.
31 octobre 2024 à 20h19
Source : 404 Media, Ars Technica