Discord, pas très regardant avec vos données personnelles ? Voilà pourquoi la CNIL sanctionne l'appli

Par Alexandre Boero, Journaliste-reporter, responsable de l'actu.

Publié le 17 novembre 2022 à 12h40

La CNIL vient de sanctionner Discord. L'autorité a infligé au logiciel une amende frôlant le million d'euros, pour divers manquements au RGPD sur la protection des données personnelles des utilisateurs.

Discord, rattrapé par la patrouille. La Commission nationale de l'informatique et des libertés (CNIL) a annoncé, jeudi, avoir sanctionné le service de voix sur IP (VoIP) d'une amende de 800 000 euros. L'autorité française a soulevé plusieurs manquements au règlement général sur la protection des données (RGPD), sur des questions notamment de durées de conservation et de sécurité des données personnelles. L'entreprise américaine a semble-t-il fait preuve de coopération durant la procédure, ce qui vient atténuer la sanction. Mais voyons ce que la CNIL lui reprochait précisément.

Discord, poussé par la CNIL à avoir une politique écrite de conservation des données

Le premier manquement constaté tient à l'obligation de définir et de respecter une durée de conservation des données adaptée à l'objectif visé, fixée par l'article 5.1.e du RGPD. La CNIL a trouvé, au sein de la base de données Discord, la présence de 2,5 millions de comptes d'utilisateurs français n'ayant pas remis un pied sur l'application depuis trois ans. Ajoutez à cela les 58 000 autres comptes inactifs depuis plus de cinq ans.

Pour l'autorité, il y avait ici manquement en ce qu'au moment du contrôle, la société ne possédait pas de politique écrite de conservation des données. Une erreur désormais réparée, avec un service qui prévoit formellement la suppression d'un compte dès lors que celui-ci dépasse les deux ans d'inactivité.

Discord a également enfreint l'article 13 du RGPD, relatif à l'obligation d'information. Lors du passage de la CNIL, l'entreprise californienne était plutôt incomplète sur la question des durées de conservation. Elle ne présentait en effet pas de durées précises ni de critères permettant d'obtenir des informations claires sur le sujet. Mais depuis, la société californienne s'est mise en conformité.

Quitter un salon vocal sous Windows ne déconnectait pas vraiment l'utilisateur du salon

La CNIL est également tombée de son fauteuil sur la question de l'obligation à garantir la protection des données par défaut (sacrée par l'article 25.2 du RGPD). Prenons l'exemple d'un utilisateur de Discord, connecté à un salon vocal, qui ferme la fenêtre de l'appli en cliquant sur l'icône X sous Windows. En réalité, il ne fait que mettre l'application en arrière-plan, et reste ainsi connecté dans le salon vocal. Ce qui évidemment pose problème aux yeux du gendarme des données.

« Le comportement de Discord peut conduire à ce que des utilisateurs soient entendus par les autres membres présents dans le salon vocal, alors qu'ils pensaient l'avoir quitté », souligne la CNIL, qui estime que l'entreprise se devait d'informer l'utilisateur, en lui précisant qu'en quittant la fenêtre, il pouvait néanmoins être toujours entendu par d'autres personnes.

En marge de la procédure de l'autorité française, Discord a donc mis en place une fenêtre pop-up qui permet, dès lors que la fenêtre est fermée, d'alerter l'utilisateur connecté à un salon vocal, que l'application est toujours en fonctionnement et qu'il peut directement modifier ce paramètre.

Les exigences autour des mots de passe étaient bien trop faibles, Discord y remédie

Lorsque vous créez un compte sur Discord, un mot de passe de six caractères seulement, incluant des lettres et des chiffres, suffisait à aller au bout du processus, ce qui a alerté la CNIL au moment de son contrôle, brandissant alors l'article 32 du règlement général sur la protection des données. Pour le gendarme des données, la gestion des mots de passe n'était pas suffisamment forte et contraignante pour garantir la sécurité des comptes des utilisateurs.

L'autorité indique que Discord a pris des mesures pour une meilleure sécurisation des comptes. Les utilisateurs doivent effectivement définir un mot de passe de huit caractères minimum, avec l'exigence de trois catégories de caractères parmi les minuscules, majuscules, chiffres et caractères spéciaux. En outre, après dix tentatives de connexion non abouties, Discord exige de ses utilisateurs la résolution d'un captcha. Des efforts jugés rassurants et satisfaisants par la CNIL.

Une discorde désormais atténuée

Dernier manquement soulevé par la CNIL : celui portant sur l'obligation d'effectuer une analyse d'impact relative à la protection des données (article 35 du RGPD). Que s'est-il passé ? Discord a considéré qu'il n'était pas nécessaire, tout simplement, de réaliser une telle analyse. La formation restreinte de la CNIL a, de son côté, estimé que l'entreprise a eu tort, dans la mesure où elle traite un volume de données considérable, et que son service est utilisé par de nombreux mineurs.

Discord a fini par entendre raison, sur ce point aussi, en réalisant durant la procédure non pas une mais deux analyses d'impact pour son traitement lié au service Discord et à ses services essentiels. À l'issue des analyses, le traitement des données n'était pas susceptible d'engendrer un risque élevé pour les droits et libertés des personnes.

L'entreprise Discord faisait donc état de multiples manquements, sans véritable volonté de nuire aux utilisateurs, et la CNIL le souligne bien, en insistant sur la bonne coopération de la firme avec ses services.

Source : CNIL

Par Alexandre Boero

Journaliste-reporter, responsable de l'actu

Journaliste, responsable de l'actualité de Clubic – Sensible à la cybersécurité, aux télécoms, à l'IA, à l'économie de la Tech, aux réseaux sociaux ou encore aux services en ligne. En soutien direct du rédacteur en chef, je suis aussi le reporter et le vidéaste de la bande. Journaliste de formation, j'ai fait mes gammes à l'EJCAM, école reconnue par la profession, où j'ai bouclé mon Master avec une mention « Bien » et un mémoire sur les médias en poche.

Articles d'Alexandre Boero

Données personnelles

Discord

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (5)

Korgen

Ca fait des années que mon clan est resté sur teamspeak quitte à nous attirer des moqueries, c’est pas pour rien. Ca fait longtemps que je dis que discord est une plaie en termes de sécurités et de protection des données. Merci la CNIL d’avoir enfin mis le doigt dessus.

Korgen

C’est simple, discord nécessite la création d’un compte avec email et compagnie, le chat est stocké sur leurs serveurs, etc… Discord est plus susceptible de subir un leak de données.
Teamspeak ne nécessite aucun compte, aucune adresse email, la partie serveur est hébergée sur un serveur perso sur lequel on a un contrôle total, les codec audio sont de meilleure qualité, etc…
Discord a explosé grâce à sa gratuité à un moment où teamspeak a changé sa politique de licences. Sans entrer dans les détails on est restés sur les licences ts3 gratuites, le choix est vite fait.

Bibifokencalecon

Toutes les remarques de la CNIL (et à travers la RGPD) envers Discord sont légitimes mais 2 choses se dégagent :

la compagnie Discord a fait les efforts demandés dans un temps plus que raisonnable au moyen de leur organisation.
aucune volonté de nuire aux usagers, simplement, comme un grand nombre de compagnie, se mettre à jour pour suivre les standards RGPD n’est pas un processus rapide, et cela est même très contraignant.

Ces 5 dernières années, je ne compte plus le nombre de projets applicatifs sur lequel j’ai travaillé ou que j’ai suivi qui tentaient de se mettre à jour dans les temps pour éviter le fameux retour de bâton RGPD (amende, sanction, etc.). Personne ne remettait en cause les principes de la RGPD, c’est simplement que l’expérience n’a pas toujours été une sinécure.

Discord ne demande qu’un courriel et un mot de passe pour se créer un compte et se connecter. Les espaces sont indépendants et bien cloisonnés entre eux. La qualité de service est très correcte. L’application est peu gourmande. Pour un usage ludique, c’est très suffisant.

Même mes scouts (11-14 ans) durant la COVID ont opté pour cette plateforme afin de rester en contact régulièrement. Ils sont très sensibles sur le sujet de la visibilité des données personnelles, évitant tout réseaux sociaux par exemple. C’était soit cela, soit Microsoft Teams, soit Zoom (qui a l’époque était une passoire). Ils ont pour la plupart utilisé une boîte courriel « poubelle » et utilisent des pseudos différents selon les espaces. Avoir des salons textuels et des salons vocaux, publics ou privés, et pouvoir installer facilement des bots sont de vrais plus.

Et pour moi, comme nombre d’autres personnes ici, il a remplacé progressivement TeamSpeak.

Korgen

Je ne parle pas de sécurité pour le clan mais de sécurité pour les utilisateurs ^^
Les données ne se limitent pas au contenu du chat : adresses email, numéros de téléphone, type d’activité, horaires et temps de connexion, etc…

Que nos emails soient déjà sur des listes revendues, c’est une chose (bien qu’il soit possible de passer à travers) mais c’est pas une raison pour en rajouter. Ton discours reviendrait à dire « l’atmosphère est déjà polluée, on peut bien ajouter une usine de produits chimiques polluante ça se verra pas ». J’exagère un peu l’exemple mais l’idée est là.

Pour l’audio je t’assure que j’entend la différence. J’admet avoir l’oreille aguerrie par des années et des années de musique mais je ne suis pas le seul à l’avoir constaté.

Pour être plus exact, les communautés sont passé de Teamspeak à Mumble en raison de la gratuité et de Mumble à Discord pour cette même raison et pour son côté moins austère. Mais soyons honnêtes, le commun des mortels va utiliser quel pourcentage des possibilités de Discord ? La plupart de ceux que je côtoie (et il y en a un paquet) se moquent de l’UI, d’envoyer des GIF ou d’interagir avec un bot : ils lancent le vocal et le laissent en arrière-plan. En celà, que ce soit TS ou Mumble ou autre, c’est amplement suffisant.
Alors oui, les serveurs se créent facilement. J’ai créé un serveur Discord de secours si jamais on a un problème sur TS demandant une maintenance longue (sachant que TS n’est pas la seule chose hébergée dessus ^^), mais ton discord ne t’appartient pas et tu n’as pas la main sur tout. En tant qu’admin ça me pose un problème

Korgen

C’est clair qu’ils ont pas les numéros de CB ^^
Comme je disais, si ton mail est déjà sur la liste de ce qui a été volé à Sony, autant éviter qu’elle se trouve encore sur une autre liste.
Il y a un paquet d’années quand j’étais chez mon ancien FAI j’étais innondé de spam dont le viagra ou les fameux agrandisseurs de… bref, en migrant chez mon FAI actuel j’en ai profité pour changer de mode opératoire et faire un peu plus attention. Résultat des courses, à part les fake « vous avez un colis » (vu que je commande pas mal sur Internet), j’ai plus vraiment de spam.

Discord a quelques bons points, je dis pas (dont le cross-platform). Ca dépend surtout de ce qu’on veut en faire, pour une utilisation exclusivement vocale sur pc j’estime qu’il est dispensable ^^