Le 10 novembre 2022, la CNIL a condamné la société DISCORD INC. au paiement d’une amende administrative de 800.000 €, pour avoir notamment manqué à ses obligations en matière de « Privacy by default » et de conduite d’une analyse d’impact.
Discord est un logiciel de voix sur IP et de messagerie instantanée, permettant aux utilisateurs de créer des serveurs, ainsi que de salons textuels, vocaux et vidéos. Discord est édité par DISCORD INC.
La CNIL a effectué une mission de contrôle en ligne sur le site web « discord.com » et sur l’application mobile Discord, suivie d’une mission de contrôle sur pièces, au moyen d’un questionnaire transmis à DISCORD INC.
Suite aux réponses apportées par DISCORD INC., la CNIL a relevé les manquements suivants :
1. Manquement à l’obligation de définir et de respecter une durée de conservation des données proportionnées à la finalité du traitement.
DISCORD INC. conservait les données personnelles liées à un compte utilisateur jusqu’à la fermeture dudit compte, par l’utilisateur.
La CNIL y a vu un manquement au principe de limitation de la conservation. La durée choisie par DISCORD INC. divergeait des recommandations de la CNIL, telles que formulées dans son référentiel sur la gestion commerciale et la gestion des impayés du 3 février 2022, qui consistent à supprimer les comptes inactifs au bout de deux ans, sauf souhait contraire de l’utilisateur.
Pour la CNIL, « la société ne saurait se prévaloir en l’espèce du maintien d’une relation contractuelle pour conserver indéfiniment des comptes d’utilisateurs totalement inactifs, mais qui ne se seraient pas désinscrits, dès lors que le compte a été créé gratuitement et qu’un utilisateur inactif qui souhaiterait utiliser à nouveau le service peut le faire en recréant un compte à tout moment ».
2. Manquement à l’obligation d’information des personnes.
Ain de satisfaire aux exigences de l’article 13 du RGPD, DISCORD INC. avait publié une information quant à la durée de conservation des données personnelles des utilisateurs, dans les termes suivants :
« Nous conservons généralement les données personnelles le temps nécessaire aux fins définies dans ce document. Pour nous débarrasser des données personnelles, nous pouvons les rendre anonymes, les supprimer ou prendre d’autres mesures nécessaires. Il est possible que des données persistent quelque temps sous la forme de copies de sauvegarde ou à des fins commerciales. »
Pour la CNIL, cette énonciation des durées de conservation était générique et n’était pas « suffisamment explicite », dans la mesure où elle ne comprenait « ni durée précise, ni critères permettant de déterminer ces durées ». Elle a donc relevé un manquement à l’obligation d’information des personnes.
3. Manquement à l’obligation de garantir la protection des données par défaut.
Le principe de « protection des données par défaut » impose de « mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées ».
La CNIL a relevé que, par défaut, lorsque l’utilisateur clique sur la croix de fermeture de l’application Discord, cette dernière est simplement mise en arrière-plan et n’est pas fermée : l’utilisateur est toujours en mesure de communiquer vocalement. Pour la CNIL, cela conduit à la communication de données personnelles à des tiers, alors que l’utilisateur est susceptible de penser « en l’absence d’information spécifique suffisamment visible et claire, que leur collecte avait cessé lorsqu’il avait choisi de fermer la fenêtre de l’application ». La CNIL a qualifié ce paramétrage de manquement à l’obligation de protection des données par défaut.
DISCORD INC. a, en tant qu’action corrective, mis en place une fenêtre « pop-up » apparaissant la première fois que l’utilisateur clique sur la croix et permettant de l’alerter sur le fait que l’application Discord est toujours en cours de fonctionnement.
4. Manquement à l’obligation de sécurité des données.
La CNIL a relevé qu’un mot de passe composé de six caractères incluant des lettres et des chiffres était accepté lors de la création d’un compte sur Discord. Elle a considéré que « la robustesse des mots de passe admis par la société était trop faible, conduisant à un risque de compromission des comptes associés et des données à caractère personnel qu’ils contiennent », relevant, ainsi, un manquement à l’obligation de sécurité des données.
5. Manquement à l’obligation de réaliser une analyse d’impact.
Le RGPD impose de réaliser une analyse d’impact lorsque le traitement de données est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques ».
En l’espèce, la CNIL a considéré qu’au regard du nombre élevé d’utilisateurs de Discord en France, qui implique une « collecte de données à large échelle », et de l’utilisation du service par des enfants âgés de quinze ans, impliquant une « collecte de données de personnes vulnérables », la réalisation d’une analyse d’impact s’imposait à DISCORD INC.
Cette analyse d’impact n’ayant pas été réalisée, la CNIL a considéré que DISCORD INC. a méconnu ses obligations en la matière.
La CNIL a prononcé une amende administrative de 800.000 € à l’encontre de DISCORD INC., au regard, notamment, de sa « situation financière », des « efforts réalisés par la société pour se mettre en conformité tout au long de la procédure », ainsi que du fait que « son modèle d’affaires n’est pas fondé sur l’exploitation des données à caractère personnel ».
Source : ici