DISCORD est un service de voix sur IP (technologie qui permet aux utilisateurs de discuter à l’aide d’un microphone et/ou d’une webcam sur Internet) et un service de messagerie instantanée où les utilisateurs peuvent créer des canaux serveur, texte, audio et vidéo. Ce service est distribué par l’entreprise DISCORD INC, basé aux États-Unis.

La CNIL chargé de prononcer les sanctions à l’encontre des manquements au RGPD, a constaté que l’entreprise avait enfreint plusieurs de obligations découlant de ce dernier. En particulier, ce qui concerne les durées de conservation et la sécurité des données personnelles.

Durées de conservation

Durant la procédure de contrôle de la CNIL, la société a indiqué ne disposer d’aucune politique de conservation des données personnelles. La CNIL après étude de leur base a découvert plus de 27 000 comptes utilisateurs français non-utilisés depuis plus de trois ans et 58 000 autres comptes depuis plus de cinq ans. Désormais l’entreprise a mis en vigueur en son sein une politique de conservation des données personnelles qui stipule spécifiquement que les comptes seront supprimés après deux ans d’inactivité. Aussi moment de la vérification en ligne, les informations sur la durée de conservation étaient incomplètes : elles ne comprenaient pas la durée exacte ni les critères de sa détermination. La société est désormais également en conformité sur ce point-ci.

Protection des données

Jusqu’à peu, lorsqu’un utilisateur connecté à un canal vocal fermait la fenêtre de l’application Discord, l’application continuait de tourner en arrière-plan et donc transmettre l’audio à des tiers. La CNIL a estimé que DISCORD doit spécifiquement informer un utilisateur qu’il est toujours connecté au canal vocal après la fermeture de la fenêtre de son logiciel. Encore une fois, Discord a mis en place une fenêtre contextuelle qui permet d’être avertie après la fermeture de la fenêtre que l’application DISCORD est toujours en cours d’exécution.

Lors de la création d’un compte Discord, un mot de passe composé de six caractères incluant des lettres et des chiffres était accepté. Cette politique de gestion des mots de passe n’est plus considérée par la CNIL, comme suffisamment robuste pour garantir la protection des utilisateurs. La société a toutefois pris des mesures au cours de la procédure concernant la sécurisation de l’accès aux comptes : elle exige un mot de passe plus robuste et s’accompagne d’un captcha lors de 10 tentatives de connexion non abouties.

Analyse d’impact

La société a considéré qu’il n’était pas nécessaire de réaliser une analyse d’impact relative à la protection des données. Or, compte tenu du volume de traitement de données effectué par les entreprises et de l’utilisation de leurs services par des mineurs, la CNIL a considéré que l’entreprise devrait réaliser des analyses d’impact. Depuis le début de la procédure, Discord en a réalisé deux qui conclus que les traitements ne sont pas susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes.

L’amende

DISCORD a donc été condamné à une amende de 800 000€. Le montant de cette amende a été déterminé en prenant en compte :

  • Les infractions constatées
  • Le nombre de personnes impliquées
  • Les efforts de l’entreprise pour se remettre en conformité
    • Le fait que le modèle économique ne repose pas sur l’exploitation des données personnelles de ses utilisateurs