Le service de serveurs vocaux est certes condamné à 800 000 euros d’amende par la Cnil, une sanction publique de surcroît, mais le gendarme des données personnelles souligne que, suite à ses contrôles, la plateforme américaine est rentrée dans les clous sur la plupart de ses manquements.
En novembre 2020, Discord, célèbre plateforme de salons vocaux et textuels, a reçu la visite de la Cnil. A l’époque, le service enregistrait une croissance exceptionnelle de son nombre d’utilisateurs. A en croire la délibération, le gendarme français des données personnelles n’a pas reçu de plainte à l’encontre de l’entreprise américaine, mais a pris sur elle de vérifier la conformité de la société au RGPD.
Après plusieurs contrôles en ligne et sur pièces, la rapporteure de la Cnil a notifié à la société un certain nombre de manquements, le 25 février dernier. A commencer par le sujet de la conservation des données. Lors des contrôles, Discord a indiqué ne pas avoir de politique écrite de conservation des données, en sus de quoi l’autorité administrative a constaté que la société conservait dans sa bases 2 474 000 comptes d’utilisateurs français n’ayant pas utilisé leur compte depuis plus de trois ans et 58 000 comptes non utilisés depuis plus de cinq ans.
De nombreux manquements
De même, au moment du contrôle en ligne effectué, le régulateur a observé que la plateforme ne précisait ni les durées précises de conservation, ni les critères permettant de déterminer celles-ci. Des points sur lesquels Discord s’est mis en conformité, en mettant en place une politique écrite de durée de conservation des données qui prévoit la suppression des comptes après deux ans d’inactivité de l’utilisateur.
Autre souci, en fermant l’application par le biais de la croix en haut à droite de la fenêtre, l’application restait en arrière-plan et l’utilisateur était encore connecté dans le salon vocal. Et ce sans forcément en avoir conscience. Ce comportement de l’application pouvait « conduire à ce que des utilisateurs soient entendus par les autres membres présents dans le salon vocal alors qu’ils pensaient l’avoir quitté ». Là encore, Discord est par la suite rentré dans les clous, avec une fenêtre « pop-up » avertissant l’utilisateur lorsque celui-ci est toujours connecté.
Une fois n’est pas coutume, Discord manquait à l’obligation d’assurer la sécurité des données personnelles en permettant des mots de passe faible (six caractères incluant des chiffres et des lettres). Une politique de gestion des mots de passe qui n’était pas « suffisamment robuste et contraignante pour garantir la sécurité des comptes des utilisateurs ». Ici aussi, Discord s’est mis en conformité.
Une volonté de se mettre en conformité
Dernier point, la société estimait ne pas avoir à réaliser une analyse d’impact relative à la protection des données. Or, aux yeux de la Cnil, le volume de données traitées et l’utilisation de ses services par des mineurs rendaient indispensable cette analyse. Et Discord de s’exécuter, « en réalisant deux analyses d’impact pour son traitement lié au service DISCORD et à ses services essentiels ».
La Cnil a décidé, en formation restreinte, d’infliger à la plateforme une amende de 800 000 euros, tenant compte du nombre de manquements constatés. Néanmoins, le régulateur reconnaît que Discord n’a pas ménagé ses efforts pour se mettre en conformité tout au long de la procédure.