Discord a écopé d’une amende de 800 000 euros à cause de plusieurs manquements pour satisfaire au règlement général sur la protection des données (RGPD). L’entreprise a depuis corrigé les différents problèmes soulevés par la CNIL.
Discord est une célèbre plate-forme de discussion (texte, audio et vidéo), plébiscitée initialement par les joueurs, mais utilisée désormais par de nombreux utilisateurs qui souhaitent dialoguer autour d’un sujet commun. Mais elle vient d’être sanctionnée par la Commission nationale de l’informatique et des libertés et va devoir payer une lourde amende de 800 000 euros. En effet, la CNIL a relevé plusieurs manquements au respect de la vie privée et que Discord ne respectait pas les obligations prévues par le règlement général sur la protection des données (RGPD). Elle précise dans son communiqué quels sont les critères retenus pour déterminer le montant de l’amende :
« Le montant a été décidé au regard des manquements retenus, du nombre de personnes concernées, mais aussi en tenant compte des efforts réalisés par la société pour se mettre en conformité tout au long de la procédure et du fait que son modèle d’affaires n’est pas fondé sur l’exploitation des données personnelles. »
Le premier manquement concerne la conservation des données des utilisateurs (articles 5.1.e et 25.2 du RGPD). La CNIL a découvert l’existence de 2 474 000 comptes d’utilisateurs français sans activité depuis plus de trois ans et 58 000 comptes non utilisés depuis plus de cinq ans. En outre, Discord ne fournissait aucune information sur la durée de conservation des comptes, ni sur les critères qui permettaient de déterminer cette durée. La plate-forme a été obligée de rectifier le tir et indique désormais une suppression des comptes après deux ans d’inactivité de l’utilisateur.
Une appli qui continue de fonctionner en arrière-plan
Un autre problème concerne la fermeture de l’application Discord sur les PC Windows. Lorsque l’utilisateur ferme la fenêtre en cliquant sur la croix, l’application fonctionne encore en arrière-plan sans qu’il en soit informé. Ainsi, une personne qui a utilisé son micro dans Discord peut encore être entendue par les autres utilisateurs alors qu’elle pense avoir quitté le programme. À présent, lors de la première fermeture de l’appli, une fenêtre apparait pour prévenir l’utilisateur connecté à un salon audio que le programme est encore actif en arrière-plan, mais qu’il peut modifier ce paramètre de fonctionnement.
Des mots de passe trop faibles
La CNIL a également estimé que Discord ne protégeait pas suffisamment ses utilisateurs, en permettant l’utilisation de mots de passe trop simples (six caractères avec des lettres et des chiffres). La plate-forme s’est mise en conformité et exige dorénavant un mot de passe d’au moins huit caractères avec, au minimum, trois des quatre catégories de caractères disponibles (minuscules, majuscules, chiffres et caractères spéciaux). En outre, elle active un système de captcha après dix tentatives de connexion infructueuses.
Pas de risque élevé pour les droits et les libertés
Enfin, Discord a été sanctionné pour ne pas avoir réalisé une analyse d’impact relative à la protection des données (article 35 du RGPD), alors que la plate-forme manipule une quantité importante de données et permet l’utilisation de son service par des mineurs. Depuis, l’entreprise a réalisé deux analyses d’impact : l’une concernant les services essentiels de la plate-forme et l’autre dédiée au service Discord en particulier. Les deux analyses ont abouti à la conclusion que le traitement des données n’est pas susceptible d’engendrer un risque élevé pour les droits et libertés des personnes.
Bref, Discord a commis des manquements sans intention de nuire aux utilisateurs et a pleinement collaboré avec la CNIL pour y remédier. Dommage que l’entreprise ne l’ait pas fait avant…
Source :
CNIL