Le 17 novembre 2022, la Commission nationale de l’informatique et des libertés (CNIL) a déclaré avoir sanctionné la société Discord Inc. d’une amende à hauteur de 800 000 euros au titre de plusieurs violations aux obligations imposées par le Règlement général sur la protection de données (RGPD).
Développé par la société américaine Discord Inc., Discord est un logiciel de communication en ligne. Plutôt populaire chez les joueurs de jeux vidéos, la plateforme propose notamment une messagerie instantanée dans laquelle les utilisateurs peuvent communiquer entre eux et créer des serveurs, des salons textuels et des salons vocaux recourant au microphone et/ou à la webcam. Discord est tout aussi accessible depuis le navigateur web que depuis son application gratuitement téléchargeable.
La CNIL lui a notamment reproché ne pas avoir respecté les articles 5.1.e, 12, 13, 21.1, 25.2, 32 et 35 du RGPD.
Des comptes inactifs indéfiniment conservés
Lors de la procédure de contrôle, la CNIL a constaté que Discord ne disposait pas de politique écrite et précise sur la conservation des données personnelles. Elle a noté qu’au sein de la base de données existaient de nombreux comptes inactifs : 2 474 000 comptes d’utilisateurs français n’ayant pas utilisé leur compte depuis plus de trois ans et 58 000 depuis plus de cinq ans.
Suivant cette même logique, la CNIL a également reproché au logiciel un défaut d’information et de justification auprès de l’ensemble de ses utilisateurs. Or, aux termes de son article 5.1.e, le RGPD précise que les données à caractère personnel doivent être « conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ».
Désormais, la société Discord Inc. prévoit expressément une suppression automatique des comptes après deux ans d’inactivité, sauf si l’utilisateur exprime le souhait de maintenir son compte actif.
Plusieurs actions à effectuer avant de réussir à quitter Discord
Outre la question de la conservation, la CNIL a également estimé que Discord manquait à son obligation de protection des données personnelles. L’article 25.2 du RGPD dispose que le responsable doit mettre en œuvre « les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées ».
En effet, lorsqu’un utilisateur connecté à un salon vocal clique sur le bouton « X » en haut à droite de l’écran pour fermer la fenêtre de l’application, il ne fait en réalité que la mettre en arrière-plan et reste connecté dans le salon vocal sans en être averti. L’application fonctionne donc toujours au détriment de l’utilisateur qui se doit de cliquer sur le bouton « déconnexion » avant de cliquer sur le bouton « X » pour définitivement fermer la plateforme.
Par conséquent, Discord a été intimé d’informer spécifiquement l’utilisateur que ses paroles pouvaient continuer à être entendues par les autres utilisateurs présents dans le salon vocal. Pour y répondre, a été ajoutée une fenêtre de type « pop-up » avertissant l’utilisateur que le micro est toujours actif.
Une sécurité d’une complexité insuffisante
La CNIL a également estimé que les exigences de Discord pour la création d’un mot de passe étaient faibles et peu contraignantes afin d’assurer la sécurité des données personnelles et ainsi empêcher que des tiers non autorisés aient accès au compte.
En réaction, le logiciel a rehaussé sa politique de gestion des mots de passe et exige désormais des utilisateurs qu’ils définissent un mot de passe de 8 caractères minimum, avec au moins trois des quatre catégories de caractères (minuscules, majuscules, chiffres et caractères spéciaux. En outre, les tentatives de connexion sont limitées à une par seconde et une vérification par courriel ou SMS sera envoyée afin de valider l’identifiant lorsque la demande de connexion proviendra d’une zone d’adresse IP différente de celle de la précédente connexion.
Enfin, Discord Inc. a été rappelée à l’ordre sur l’obligation d’effectuer une analyse d’impact relative à la protection des données mentionnée à l’article 35 du RGPD. Par conséquent, la société a réalisé deux analyses d’impact pour son traitement lié a la plateforme Discord et à ses services essentiels qui ont conclu que le traitement n’est pas susceptible d’engendrer un risque élevé pour les droits et libertés des personnes.
L’évolution accélérée des technologies et la mondialisation créent chaque jour de nouveaux enjeux pour la protection des données à caractère personnel. Pas plus tard qu’une semaine suite à la sanction prononcée à l’égard de Discord, la CNIL a également mise une amende à hauteur de 600 000 euros à EDF pour des manquements similaires tels que l’obligation d’information des personnes ou encore l’obligation d’assurer la sécurité des données personnelles.
Pour aller plus loin :
Concernant Discord : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000046562676?init=true&page=1&query=discord%20inc&searchField=ALL&tab_selection=all
Concernant EDF : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000046650733?isSuggest=true
Emmanuelle LÊ