La CNIL vient de sanctionner Discord. L'autorité a infligé au logiciel une amende frôlant le million d'euros, pour divers manquements au RGPD sur la protection des données personnelles des utilisateurs.
Discord, rattrapé par la patrouille. La Commission nationale de l'informatique et des libertés (CNIL) a annoncé, jeudi, avoir sanctionné le service de voix sur IP (VoIP) d'une amende de 800 000 euros. L'autorité française a soulevé plusieurs manquements au règlement général sur la protection des données (RGPD), sur des questions notamment de durées de conservation et de sécurité des données personnelles. L'entreprise américaine a semble-t-il fait preuve de coopération durant la procédure, ce qui vient atténuer la sanction. Mais voyons ce que la CNIL lui reprochait précisément.
Discord, poussé par la CNIL à avoir une politique écrite de conservation des données
Le premier manquement constaté tient à l'obligation de définir et de respecter une durée de conservation des données adaptée à l'objectif visé, fixée par l'article 5.1.e du RGPD. La CNIL a trouvé, au sein de la base de données Discord, la présence de 2,5 millions de comptes d'utilisateurs français n'ayant pas remis un pied sur l'application depuis trois ans. Ajoutez à cela les 58 000 autres comptes inactifs depuis plus de cinq ans.
Pour l'autorité, il y avait ici manquement en ce qu'au moment du contrôle, la société ne possédait pas de politique écrite de conservation des données. Une erreur désormais réparée, avec un service qui prévoit formellement la suppression d'un compte dès lors que celui-ci dépasse les deux ans d'inactivité.
Discord a également enfreint l'article 13 du RGPD, relatif à l'obligation d'information. Lors du passage de la CNIL, l'entreprise californienne était plutôt incomplète sur la question des durées de conservation. Elle ne présentait en effet pas de durées précises ni de critères permettant d'obtenir des informations claires sur le sujet. Mais depuis, la société californienne s'est mise en conformité.
Quitter un salon vocal sous Windows ne déconnectait pas vraiment l'utilisateur du salon
La CNIL est également tombée de son fauteuil sur la question de l'obligation à garantir la protection des données par défaut (sacrée par l'article 25.2 du RGPD). Prenons l'exemple d'un utilisateur de Discord, connecté à un salon vocal, qui ferme la fenêtre de l'appli en cliquant sur l'icône X sous Windows. En réalité, il ne fait que mettre l'application en arrière-plan, et reste ainsi connecté dans le salon vocal. Ce qui évidemment pose problème aux yeux du gendarme des données.
« Le comportement de Discord peut conduire à ce que des utilisateurs soient entendus par les autres membres présents dans le salon vocal, alors qu'ils pensaient l'avoir quitté », souligne la CNIL, qui estime que l'entreprise se devait d'informer l'utilisateur, en lui précisant qu'en quittant la fenêtre, il pouvait néanmoins être toujours entendu par d'autres personnes.
En marge de la procédure de l'autorité française, Discord a donc mis en place une fenêtre pop-up qui permet, dès lors que la fenêtre est fermée, d'alerter l'utilisateur connecté à un salon vocal, que l'application est toujours en fonctionnement et qu'il peut directement modifier ce paramètre.
Les exigences autour des mots de passe étaient bien trop faibles, Discord y remédie
Lorsque vous créez un compte sur Discord, un mot de passe de six caractères seulement, incluant des lettres et des chiffres, suffisait à aller au bout du processus, ce qui a alerté la CNIL au moment de son contrôle, brandissant alors l'article 32 du règlement général sur la protection des données. Pour le gendarme des données, la gestion des mots de passe n'était pas suffisamment forte et contraignante pour garantir la sécurité des comptes des utilisateurs.
L'autorité indique que Discord a pris des mesures pour une meilleure sécurisation des comptes. Les utilisateurs doivent effectivement définir un mot de passe de huit caractères minimum, avec l'exigence de trois catégories de caractères parmi les minuscules, majuscules, chiffres et caractères spéciaux. En outre, après dix tentatives de connexion non abouties, Discord exige de ses utilisateurs la résolution d'un captcha. Des efforts jugés rassurants et satisfaisants par la CNIL.
Une discorde désormais atténuée
Dernier manquement soulevé par la CNIL : celui portant sur l'obligation d'effectuer une analyse d'impact relative à la protection des données (article 35 du RGPD). Que s'est-il passé ? Discord a considéré qu'il n'était pas nécessaire, tout simplement, de réaliser une telle analyse. La formation restreinte de la CNIL a, de son côté, estimé que l'entreprise a eu tort, dans la mesure où elle traite un volume de données considérable, et que son service est utilisé par de nombreux mineurs.
Discord a fini par entendre raison, sur ce point aussi, en réalisant durant la procédure non pas une mais deux analyses d'impact pour son traitement lié au service Discord et à ses services essentiels. À l'issue des analyses, le traitement des données n'était pas susceptible d'engendrer un risque élevé pour les droits et libertés des personnes.
L'entreprise Discord faisait donc état de multiples manquements, sans véritable volonté de nuire aux utilisateurs, et la CNIL le souligne bien, en insistant sur la bonne coopération de la firme avec ses services.
Source : CNIL