Données personnelles sur Discord : la CNIL sonne l'alarme

La CNIL vient d'infliger une lourde amende à Discord. La plateforme de communication, qui ne respectait pas le RGPD pour la conservation et la protection des données personnelles, a toutefois vite corrigé ses erreurs.

Discord, la messagerie instantanée qui permet de discuter en groupe par écrit, en audio et en vidéo via des salons privés, se fait tirer par les oreilles ! La Commission nationale de l'informatique et des libertés (CNIL) a annoncé ce jeudi 17 novembre avoir constaté pas moins de cinq manquements aux obligations imposées par le Règlement général sur la protection des données (RGPD), notamment à propos de la durée de conservation et la sécurité des données personnelles des utilisateurs. La plateforme, qui compte plusieurs centaines de milliers de membres suite à son explosion de popularité pendant la crise de la Covid-19, a toutefois fait preuve de bonne volonté et de coopération durant la procédure en corrigeant ce qui lui était reproché, ce qui a conduit la CNIL à ne lui infliger une amende de "seulement" 800 000 euros.

Discord : des données personnelles conservées trop longtemps

Le premier problème pointé du doigt par la CNIL concerne la durée de conservation des données, qui doit être adaptée à l'objectif, comme l'indique l'article 5.1 du RGPD. Or, elle a découvert que Discord ne supprimait pas les comptes de ses utilisateurs inactifs et n'avait même pas vraiment réfléchi à la question ! Durant son enquête, elle a trouvé près de 2,5 millions de comptes inactifs depuis 3 ans, auxquels s'ajoutent 58 000 comptes inactifs depuis plus de cinq ans. Ça commence à faire beaucoup, d'autant plus que le RGPD spécifie que les données personnelles collectées ne peuvent être conservées que "pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées".

Or, comme Discord ne possédait pas du tout de politique écrite de conservation des données au moment du contrôle, la firme a aussi manqué à l'article 13 du RGPD concernant l'obligation d'information. Les durées de conservation des données n'étaient pas précises et n'avaient même pas de critères pour les déterminer. Discord a cependant fait amende honorable en résolvant le problème. La plateforme dispose maintenant d'une politique écrite de durée de conservation des données, qui prévoit la suppression automatique des comptes après deux ans d'inactivité.

Données personnelles sur Discord : une protection jugée trop légère

L'autre gros point noir soulevé par la CNIL concerne la protection des données personnelles des utilisateurs de la plateforme. L'article 25.2 du RGPD prévoit l'obligation de garantir la protection des données par défaut. Or, dans certains cas, le fonctionnement de l'application y contrevient, car celle-ci ne se ferme pas toujours complètement malgré les apparences. Aussi, lorsque l'utilisateur, connecté à un salon vocal, ferme la fenêtre de l'application en cliquant sur la croix tout en haut à droite sur le logiciel bureau, il s'attend généralement à tout quitter. En réalité, la fenêtre disparaît et passe en arrière-plan, ce qui fait que l'utilisateur est toujours connecté au chat vocal et peut être entendu sans en avoir conscience. La CNIL estime que la firme devait informer l'utilisateur. C'est désormais chose faite, puisqu'une fenêtre pop-up apparaît pour avertir que l'application est toujours en fonctionnement et qu'il est donc toujours connecté au salon vocal.

Les exigences de Discord pour la création d'un mot de passe ont aussi été jugées insuffisantes. En effet, la plateforme ne demandait qu'un mot de passe de minimum 6 caractères incluant des lettres et des chiffres. Or, si on se base sur l'article 31 du RGPD, ce n'est pas assez fort ni contraignant pour garantir la sécurité des comptes des utilisateurs. Là encore, la société a pris des mesures. Elle exige maintenant un mot de passe de 8 caractères minimum avec au moins trois des quatre catégories de caractères – minuscules, majuscules, chiffres et caractères spéciaux. En plus, après dix tentatives infructueuses pour se connecter, elle demande la résolution d'un captcha, via une case à cocher – pour prouver qu'il ne s'agit pas d'un robot – ou d'une sélection d'images – comme cliquer sur toutes les images montrant un lion. Enfin, la firme n'avait jamais réalisé d'analyse d'impact relative à la protection des données, jugeant tout simplement que ce n'était pas nécessaire. Or, comme l'indique l'article 35 du RGPD, elle aurait dû procéder à une telle analyse d'impact, compte tenu du volume de données traitées et de l'utilisation de ses services par des mineurs. Elle a donc réalisé non pas une, mais deux analyses d'impact, qui ont conclu que le traitement de données opéré par Discord n'est pas susceptible d'engendrer un risque élevé pour les droits et libertés des personnes. Ouf !

Finalement, il s'agissait plus de manquements et d'erreurs de la part de l'entreprise que d'une véritable volonté de nuire et de se jouer des utilisateurs. La CNIL a décidé d'une amende à la fois dissuasive et proportionnée, en prenant en compte les revenus de l'entreprise, la nature de son activité, la gravité, la nature et la durée de la violation, les mesures prises pour tout corriger, ainsi que le degré de coopération avec l'autorité de contrôle et les catégories de données à caractère personnel concernées par la violation. Elle souligne la bonne volonté de Discord Inc. et sa coopération avec les différents services, et le fait que son modèle d'affaires ne soit pas fondé sur l'exploitation des données personnelles de ses utilisateurs. C'est pourquoi elle a atténué la sentence, avec une amende plutôt modérée.