Sanction de 800 000 euros à l’encontre de la société DISCORD INC.
Le 10 novembre 2022, la CNIL a prononcé à l’encontre de la société DISCORD INC. une amende de 800 000 euros pour avoir manqué à plusieurs obligations du RGPD, notamment en matière de durées de conservation et de sécurité des données personnelles.
Le contexte
DISCORD est un service de voix sur IP (technologie qui permet aux utilisateurs de discuter via leur microphone et/ou leur webcam via Internet) et de messagerie instantanée, dans laquelle les utilisateurs peuvent créer des serveurs, des salons textuels, vocaux et vidéos. Le service est édité par la société DISCORD INC., dont le siège social est situé aux États-Unis.
Sur la base des constatations effectuées lors de contrôles, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a considéré que la société avait manqué à plusieurs obligations prévues par le règlement général sur la protection des données (RGPD). Elle a prononcé à l’encontre de la société DISCORD INC. une amende de 800 000 euros rendue publique.
Le montant de cette amende a été décidé au regard des manquements retenus, du nombre de personnes concernées, mais aussi en tenant compte des efforts réalisés par la société pour se mettre en conformité tout au long de la procédure et du fait que son modèle d’affaires n’est pas fondé sur l’exploitation des données personnelles.
Les manquements sanctionnés
Un manquement à l’obligation de définir et de respecter une durée de conservation des données adaptée à l’objectif visé (article 5.1.e du RGPD)
Dans le cadre de la procédure de contrôle, la société a indiqué ne pas avoir de politique écrite de conservation des données. Les constatations effectuées par la CNIL ont permis de confirmer qu’il existait, au sein de la base de données DISCORD, 2 474 000 comptes d’utilisateurs français n’ayant pas utilisé leur compte depuis plus de trois ans et 58 000 comptes non utilisés depuis plus de cinq ans.
La formation restreinte a néanmoins constaté que la société s’est mise en conformité avec cette obligation du RGPD dans le cadre de la procédure, puisqu’elle dispose désormais d’une politique écrite de durée de conservation des données, qui prévoit notamment la suppression des comptes après deux ans d’inactivité de l’utilisateur.
Un manquement à l’obligation d’information (article 13 du RGPD)
Au moment du contrôle en ligne effectué, l’information était lacunaire concernant les durées de conservation : elle ne comportait ni durées précises, ni critères permettant de déterminer celles-ci.
La société s’est mise en conformité au cours de la procédure sur ce point également.
Un manquement à l’obligation de garantir la protection des données par défaut (article 25.2 du RGPD)
Lorsqu’un utilisateur connecté à un salon vocal ferme la fenêtre de l’application DISCORD en cliquant sur l’icône « X » située en haut à droite sous Microsoft Windows, il ne fait en réalité que mettre l’application en arrière-plan et reste connecté dans le salon vocal. Pourtant, sous Microsoft Windows, le fait de cliquer sur « X » en haut à droite de la dernière fenêtre visible d’une application permet de la quitter pour la grande majorité des applications.
Le comportement de DISCORD est différent et peut conduire à ce que des utilisateurs soient entendus par les autres membres présents dans le salon vocal alors qu’ils pensaient l’avoir quitté. La formation restreinte a considéré que DISCORD devrait informer spécifiquement l’utilisateur en lui permettant de prendre conscience que ses paroles continuaient à être transmises et entendues par des tiers.
Dans le cadre de la procédure, la société DISCORD INC. a néanmoins mis en place une fenêtre « pop-up » permettant, lorsque la fenêtre a été fermée pour la première fois, d’alerter les personnes connectées à un salon vocal que l’application DISCORD est toujours en fonctionnement et que ce paramètre peut directement être modifié par l’utilisateur.
Un manquement à l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD)
Au moment du contrôle en ligne, lors de la création d’un compte sur DISCORD, un mot de passe composé de six caractères incluant des lettres et des chiffres était accepté.
La formation restreinte a considéré que la politique de gestion des mots de passe de DISCORD n’était pas suffisamment robuste et contraignante pour garantir la sécurité des comptes des utilisateurs.
La société a toutefois pris des mesures au cours de la procédure concernant la sécurisation de l’accès aux comptes : elle exige désormais des utilisateurs qu’ils définissent un mot de passe de huit caractères minimum, avec au moins trois des quatre catégories de caractères (minuscules, majuscules, chiffres et caractères spéciaux) et, après dix tentatives de connexion non abouties, la société exige la résolution d’un captcha (question-réponse, par exemple une case à cocher ou une sélection d’images).
Un manquement à l’obligation d’effectuer une analyse d’impact relative à la protection des données (article 35 du RGPD)
La société DISCORD INC. a considéré qu’il n’était pas nécessaire de réaliser une analyse d’impact relative à la protection des données.
La formation restreinte a, quant à elle, estimé que la société aurait dû procéder à une telle analyse d’impact, au regard du volume de données traitées par la société et de l’utilisation de ses services par des mineurs.
La société a pris des mesures au cours de la procédure en réalisant deux analyses d’impact pour son traitement lié au service DISCORD et à ses services essentiels, qui ont conclu que le traitement n’est pas susceptible d’engendrer un risque élevé pour les droits et libertés des personnes.
Les textes de référence
- Article 5 du RGPD (principes relatifs au traitement des données)
- Article 13 du RGPD (obligation d’information des personnes concernées)
- Article 25 du RGPD (protection des données par défaut)
- Article 32 du RGPD (obligation d’assurer la sécurité des données)
- Article 35 du RGPD (obligation de réaliser une analyse d’impact)