Le 10 novembre 2022, la société DISCORD INC a été sanctionnée par la CNIL pour plusieurs manquements au RGPD. Cette sanction permet de rappeler notamment plusieurs principes du RGPD. Cette affaire met également en avant un point important pour les entreprises en non-conformité : procéder à des efforts durant la procédure de mise en conformité est pris en compte par la CNIL dans le calcul de la sanction.
Discord, c’est quoi ?
DISCORD INC est une société américaine à l’origine du logiciel Discord. Il s’agit d’un logiciel gratuit de « VoIP » : une technologie permettant de communiquer à l’oral en passant par les réseaux compatibles IP, donc principalement internet via par exemple la fibre optique, l’ADSL ou encore le Wi-Fi. D’autres logiciels comparables seraient notamment Skype ou WhatsApp. En plus d’un service VoiP, Discord propose également un système de messagerie instantanée avec un fonctionnement par serveur, que chacun est libre de créer et d’agencer à sa guise.
Lancée le 13 mai 2015, la plateforme de communication revendiquait en 2020 plus de 100 millions d’utilisateurs par mois et est valorisée à plus de 15 milliards de dollars depuis septembre 2021. A l’origine conçu comme un logiciel à destination des communautés de joueurs de jeux vidéo, une enquête réalisée par Abraham Brown pour le magazine Forbes soutient qu’en 2020, environ 30% des utilisateurs de Discord s’y connectent pour autre chose que les jeux vidéo.
Des comptes inactifs conservés sans limite de temps
L’un des griefs qui est fait à Discord, est notamment de ne pas avoir défini une durée de conservation des données de manière écrite, alors qu’il s’agit là d’une obligation prévue par l’article 5.1 du RGPD.
Il est en effet interdit par cet article de conserver des informations sur des personnes physiques pour une durée indéterminée. Le RGPD requiert qu’une politique de conservation des données soit fixée de manière écrite, ce qui n’était pas le cas pour Discord. L’enquête menée par la CNIL a par ailleurs révélé que 2 474 000 comptes utilisateurs sont inactifs depuis plus de 3 ans, ce qui représente une durée de conservation assez longue compte tenu de la finalité pour laquelle les données sont ici enregistrées.
Par extension, l’article 13 du RGPD qui dispose que la durée de conservation des données doit être stipulée, n’était pas non plus respecté puisqu’il n’était fait mention d’aucune durée ou critère permettant de déterminer cette durée de conservation.
Un logiciel qui reste en arrière-plan quand on pense l’avoir fermé
La CNIL a révélé une autre problématique : lorsque l’on ferme le logiciel via la croix, ce dernier ne se ferme pas réellement et reste en arrière-plan. Le problème ici est qu’il est donc possible d’être entendu des autres personnes présentes dans la conversation alors qu’on pense avoir quitté l’application. La CNIL rappelle que fermer un logiciel de cette manière permet généralement de quitter entièrement le logiciel et non de le mettre simplement en arrière-plan.
L’autorité chargée de la protection des données relève donc un manquement à l’article 25.2 du RGPD. Elle explique que la mise en arrière-plan n’est pas nécessairement un problème, mais Discord doit alors prévenir ses utilisateurs que le logiciel est encore en fonctionnement et qu’ils risquent d’être entendus par d’autres personnes mais que ce paramètre peut être modifié.
Un laxisme sur la complexité des mots de passe requis
Discord se voit également reproché un manquement à l’article 32 du RGPD qui a trait à la sécurisation des données. Il est en effet reproché ne pas imposer l’élaboration d’un mot de passe suffisamment fort lors de la création d’un compte Discord. En effet, un mot de passe de 6 caractères était accepté, ce qui n’est pas suffisant pour garantir la sécurité des comptes utilisateur. De plus, en cas d’erreurs répétées du mot de passe lors de la connexion, aucune protection du compte n’existait.
La nécessité d’effectuer une analyse d’impact des données récoltées
Le dernier grief reproché est un manquement à l’article 35 du RGPD. Ce dernier dispose qu’une analyse d’impact doit être réalisée pour s’assurer qu’il n’existe pas de risque majeur pour les droits et libertés des personnes physiques dont les données sont récoltées.
Or, Discord a considéré qu’il n’était pas nécessaire pour elle de procéder à ces analyses d’impact, position que ne partage pas la CNIL et qui a donc enjoint Discord à effectuer des analyses d’impact.
Une sanction allégée en raison la bonne foi de Discord durant la procédure
En cas de manquement, l’article 83 du RGPD prévoit une amende pouvant aller soit jusqu’à 20 000 000 d’euros, ou équivalente à maximum 4% du chiffre d’affaires annuel mondial de l’entreprise. Mais, malgré ces manquements variées, Discord n’a fait l’objet d’une amende que de 800 000 euros.
La raison est la mise en conformité de la société au cours de la procédure. En effet, la CNIL y fait référence plusieurs fois : lors de la procédure, la société DISCORD INC s’est montrée conciliante et de bonne foi. En effet, la société a rapidement pris plusieurs mesures pour mettre fin à ses carences.
Par exemple, il faut désormais un mot de passe de 8 caractères au moins lors de la création du compte et les comptes d’utilisateurs inactifs depuis plus de 2 ans seront supprimés. Enfin, plusieurs analyses d’impact ont été menées pour arriver à la conclusion que le traitement des données opéré par Discord ne représente pas de risque élevé pour la liberté de ses utilisateurs.
A titre de comparaison, la société CLEARVIEW AI n’a pas répondu aux injonctions que lui a faite la CNIL, ce qui a amené ladite société à être condamnée en octobre 2022 à l’amende maximale à savoir 20 000 000 d’euros.
Il est donc dans l’intérêt des sociétés de coopérer avec la CNIL, d’une part pour assurer leur conformité au RGPD et d’autre part pour limiter la sanction donnée.