L’autorité relève tout de même que l’application de messagerie a depuis corrigé l’ensemble des problèmes.
Malgré une mise en règle, Discord n’a pas échappé à la sanction. La Commission nationale de l’informatique et des libertés (Cnil) a annoncé ce jeudi avoir prononcé une amende de 800 000 euros à l’application de messagerie pour plusieurs manquements aux obligations prévues par le règlement général sur la protection des données (RGPD). « Le montant de cette amende a été décidé au regard des manquements retenus, du nombre de personnes concernées, mais aussi en tenant compte des efforts réalisés par la société pour se mettre en conformité tout au long de la procédure et du fait que son modèle d’affaires n’est pas fondé sur l’exploitation des données personnelles », indique l’autorité.
Des politiques problématiques
Parmi les manquements au RGPD constatés, la Cnil reproche à Discord d’avoir trop longtemps conservé les données des utilisateurs inactifs, avec sa base de données qui comprenait « 2 474 000 d’utilisateurs français n’ayant pas utilisé leur compte depuis plus de trois ans et 58 000 comptes non utilisés depuis plus de cinq ans ». La messagerie ne disposait pas non plus d’une politique claire sur la conservation de leurs informations. Pourtant, le RGPD précise dans ses principes relatifs au traitement des données personnelles que ces informations doivent être conservées « pendant une durée n’excédant pas celle nécessaire au regard des finalité pour lesquelles elles sont traitées ». Discord s’est désormais dotée d’une politique de conservation des données indiquant que les comptes seront supprimés après deux ans d’inactivité de la part des utilisateurs.
Lors de son enquête, la Cnil a également relevé que la politique de gestion des mots de passe de la messagerie n’était pas assez robuste et contraignante pour garantir la sécurité des comptes des utilisateurs, l’application acceptant un mot de passe de six caractères incluant des lettres et des chiffres. Discord a remédié à ce problème, exigeant aujourd’hui des mots de passe composés d’au moins huit caractères, mais aussi que ceux-ci comprennent au moins trois de ces catégories : les minuscules, les majuscules, les chiffres et les caractères spéciaux.
Une pratique trompeuse
Le gendarme des données personnelles a en outre estimé que le service de messagerie a induit ses utilisateurs en erreur avec sa version pour PC. Alors que la plupart des applications Windows se ferment avec un clic sur le bouton « X », ce n’était pas le cas avec Discord. Lorsqu’un utilisateur connecté à un salon vocal cliquait dessus, l’application était alors mise en arrière-plan sans qu’il ne soit prévenu qu’elle fonctionne toujours. Cela « peut conduire à ce que les utilisateurs soient entendus par les autres membres présents dans le salon vocal alors qu’ils pensaient l’avoir quitté », explique la Cnil. Discord a depuis corrigé ce problème en mettant en place une fenêtre « pop-up » qui avertit les utilisateurs connectés à un salon vocal que l’application fonctionne toujours lorsqu’ils cliquent une première fois sur le bouton « X ».
Enfin, la Cnil a reproché à Discord de ne pas avoir réaliser une analyse d’impact relative à la protection des données, qu’elle considère nécessaire « au regard du volume de données traitées par la société et de l’utilisation de ses services par des mineurs ». Lors de l’enquête de l’autorité, la messagerie a effectué deux analyses d’impact, dont la conclusion a été que son traitement des données « n’est pas susceptible d’engendrer un risque élevé pour les droits et libertés des personnes ».
