RGPD : la CNIL sanctionne l’entreprise américaine DISCORD INC. d’une amende de 800 000 euros 

Publié par le dans , , | Consulté 561 Fois

Le 10 novembre 2022, la Commission Nationale de l’Informatique et des Libertés (CNIL) a prononcé une sanction de 800 000 euros à l’encontre de la société américaine DISCORD INC., proposant un service de voix sur IP et de messagerie instantanée regroupant 140 millions d’utilisateurs actifs dans le monde. 

Une plateforme de communication gratuite et facile d’accès

Créé en 2015 par Jason Citron, Discord était à l’origine un outil de communication pensé pour le jeu vidéo en ligne. Jason Citron avait remarqué qu’il était toujours compliqué de se réunir entre joueurs, quel que soit le jeu pour discuter pendant une partie. Discord devient alors une plateforme gratuite, disponible aussi bien sur le web que sous la forme de logiciel à télécharger ou d’application à installer. En quelques secondes, les utilisateurs peuvent commencer à discuter entre eux, sans même avoir à passer par une inscription sur le site. Son fonctionnement rappelle les forums qui étaient très populaires au début des années 2000. 

Discord fonctionne par groupes privés, appelés « serveurs ». Ainsi n’importe qui peut créer un serveur, et inviter des personnes à le rejoindre en leur envoyant un lien. Les serveurs peuvent ensuite être subdivisés en salons de discussions. Par exemple, un Discord dédié aux passionnés de cuisine proposera un salon pour discuter des nouvelles pâtisseries à la mode, et un autre sur les recettes traditionnelles de Noël. Les échanges dans les salons sont soit textuels soit vocaux.

Cet outil de communication rencontre un succès fulgurant depuis 2020. La CNIL va rappeler dans sa délibération en date du 10 novembre 2022 que Discord est un service « Populaire parmi la communauté des joueurs de jeux vidéo car leur offrant un moyen de communiquer entre eux et de développer une communauté en dehors des jeux eux-mêmes, DISCORD est devenu un réseau social complet avec un large éventail de façons d’interagir. L’application a connu une forte popularité pendant le confinement lié à la pandémie de Covid-19, en particulier auprès d’un jeune public ». 

L’application sera la plus téléchargée pendant le confinement et sera très appréciée par les professeurs. Le succès de Discord est clairement dû à son modèle hybride : mélange de messagerie instantanée type WhatsApp ou Messenger, de réseau social audio type Clubhouse, d’outil de visio comme Skype avec un partage d’écran comme Zoom… En résumé, Discord est une synthèse de plusieurs technologies que nous utilisons tous et qui les rassemble pour un usage divertissant ou professionnel.

Le contrôle en ligne et sur pièces effectué par la CNIL

Discord étant une entreprise américaine, elle n’a pas d’établissement dans l’Union européenne puisque son siège social se trouve aux États-Unis et plus particulièrement à San Francisco. Toutefois, conformément à l’article 27 du Règlement Général sur la Protection des Données, la société a désigné un représentant, à savoir la société irlandaise VERASAFE.

Après décision de la présidente de la CNIL, Marie-Laure Denis, en date du 14 août 2020, la CNIL a décidé d’effectuer un contrôle en ligne sur le site web « discord.com » et sur l’application mobile DISCORD le 17 novembre 2020. Le 29 décembre de la même année, une mission de contrôle sur pièces était lancée, avec l’envoi d’un questionnaire à la société. Les 5 et 12 février 2021, Discord a renvoyé « des éléments de réponse à la CNIL ». Les échanges entre la société américaine et la CNIL ont continué avec une demande d’éléments complémentaires le 8 mars, puis des réponses les 23 et 24 mars.

Presque un an plus tard, le 25 février 2022, Valérie Peugeot, la rapporteure désignée par la CNIL, « a fait notifier à la société un rapport détaillant les manquements au RGPD qu’elle estimait constitués en l’espèce ». Le rapport proposait de prononcer une amende administrative et de la rendre publique, « mais qu’il ne soit plus possible d’identifier nommément la société à l’expiration d’un délai de deux ans à compter de sa publication ».

Ainsi, c’est sur la base des constatations effectuées lors des contrôles, que la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a considéré que la société avait manqué à cinq obligations prévues par le RGPD et qu’elle a prononcé à l’encontre de la société DISCORD INC. une amende de 800 000 euros rendue publique.

Une durée excessive de conservation des données

La CNIL relève un manquement à l’article 5.1.e du RGPD lié à l’obligation de définir et de respecter une durée de conservation des données adaptée à l’objectif visé. La CNIL a constaté lors de ses investigations que la société ne supprimait pas les comptes des utilisateurs inactifs. De plus, Discord ne disposait pas d’une politique écrite concernant le stockage et la conservation des données des utilisateurs. En effet, après examen, les autorités ont découvert que les données de 2 474 000 comptes d’utilisateurs français inactifs depuis trois ans étaient toujours sauvegardées sur la base de données de Discord. Même constat pour 58 000 comptes restés inactifs depuis 5 ans.

Sur ce même domaine, la CNIL relève un manquement à l’article 13 du RGPD lié à l’obligation d’information. La commission reproche à Discord de pas fournir aux utilisateurs d’informations exactes sur la durée de conservation des données personnelles. 

La formation restreinte de la CNIL a néanmoins noté que la société s’était mise en conformité avec le RGPD durant la procédure et dispose désormais d’une politique écrite de durée de conservation des données, qui prévoit notamment la suppression des comptes après deux ans d’inactivité de l’utilisateur.

Une application qui reste ouverte sans prévenir

La CNIL constate un manquement à l’article 25.2 du RGPD lié à l’obligation de garantir la protection des données par défaut. La formation restreinte a constaté que lorsqu’un utilisateur connecté à un salon vocal fermait l’application Discord en cliquant sur l’icône X sur Windows, l’application ne se fermait pas totalement.

Au contraire, elle restait active en arrière-plan et l’utilisateur n’était pas déconnecté du salon vocal. Ainsi, les paroles de l’utilisateur continuaient à être transmises et entendues par des tiers. « Le comportement de Discord est différent et peut conduire à ce que des utilisateurs soient entendus par les autres membres présents dans le salon vocal alors qu’ils pensaient l’avoir quitté », écrit la CNIL. 

Désormais, une fenêtre pop-up apparaît lors de la première fermeture pour prévenir l’utilisateur que l’application fonctionne toujours en arrière-plan. Notez qu’il est possible de modifier ce paramètre depuis.

Des mots de passe trop faibles

La CNIL estime que Discord a manqué à l’article 32 du RGPD relatif à l’obligation d’assurer la sécurité des données personnelles. La commission estime que la « politique de gestion de mots de passe de Discord n’était pas suffisamment robuste et contraignante pour garantir la sécurité des comptes des utilisateurs ». Comme le précise la CNIL, lors de la création d’un compte Discord, un mot de passe composé de six caractères incluant des lettres et des chiffres était accepté. 

Dorénavant, les utilisateurs devront créer un mot de passe composé de huit caractères minimum, avec la présence d’au moins trois catégories de caractères différents (minuscules, majuscules, chiffres, caractères spéciaux). Par ailleurs, après dix tentatives de connexion non abouties, la résolution d’un captcha est exigée.

À savoir : Récemment la CNIL a mis à jour sa recommandation de 2017 sur les mots de passe. Vous pouvez trouvez des exemples pour créer vos propres mots de passe robustes. Ainsi, un mot de passe pour être efficace doit être composé d’au minimum 12 caractères comprenant des majuscules, des minuscules, des chiffres et des caractères spéciaux à choisir dans une liste d’au moins 37 caractères spéciaux possibles.

L’absence d’analyse d’impact relative à la protection des données

Enfin, la CNIL a constaté un manquement à l’article 35 du RGPD lié à l’obligation d’effectuer une analyse d’impact relative à la protection des données. Cette analyse est un outil qui permet de construire un traitement conforme au RGPD et respectueux de la vie privée, lorsqu’un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.

Aux yeux de la CNIL, Discord aurait dû réaliser une analyse d’impact dans la mesure où l’entreprise américaine traite une énorme quantité de données, dont certaines appartenant à des mineurs.

Pour prouver sa bonne foi, Discord a finalement réalisé deux analyses. A l’issue des analyses, il a été confirmé que le traitement des données de Discord « n’est pas susceptible d’engendrer un risque élevé pour les droits et les libertés des personnes ». 

Pour conclure, si certes DISCORD INC. a été sanctionné d’une amende de 800 000 euros, « le montant de cette amende a été décidé au regard des manquements retenus, du nombre de personnes concernées, mais aussi en tenant compte des efforts réalisés par la société pour se mettre en conformité tout au long de la procédure et du fait que son modèle d’affaires n’est pas fondé sur l’exploitation des données personnelles », a expliqué la CNIL. Il est légitime de penser que si la société américaine n’avait pas fait autant preuve de bonne foi, la sanction aurait été plus importante… 

_________________________________________________________________________________________________

SOURCES :