Le 17 novembre 2022, la Commission nationale de l’informatique et des libertés (ci-après la « Cnil ») rend publique sa décision qui sanctionne la société américaine Discord Inc à hauteur de 800 000 euros, pour avoir manqué à plusieurs obligations du règlement général sur la protection des données (ci-après « RGPD »), notamment en matière de durées de conservation et de sécurité des données personnelles.

​

Discord, une plate-forme d'échange américaine 

 

Discord est une plate-forme et application de messagerie instantanée gratuite dont le siège social se situe aux Etats-Unis, permettant aux utilisateurs d’effectuer des échanges écrits, vocaux ou vidéos avec leurs amis, ou leurs communautés de jeu.

 

La formation restreinte ; organe de la Cnil chargé de prononcer des sanctions, a estimé que la société veillait avec trop de légèreté à la protection des données personnelles de ses utilisateurs et qu’elle manquait donc aux obligations imposées par le RGPD.

 

Elle décide donc de prononcer à l’encontre de Discord Inc, une amende de 800 000 euros.

​

Les manquements au RGPD sanctionnés par la Cnil 

 

La Cnil a sanctionné la société en relevant plusieurs manquements aux obligations prévues par le RGPD.

 

• Un manquement à l’obligation de définir et de respecter une durée de conservation des données

 

L’autorité relève un premier manquement concernant la conservation des données, consacré à l’article 5.1.e du RGPD qui impose au responsable de traitement l’obligation de définir et de respecter une durée de conservation des données adaptée à l’objectif visé.

 

Il a, en effet, été constaté que la plate-forme ne possédait aucune politique de durée conservation des données et ne supprimait pas les comptes de ses utilisateurs inactifs.

 

La Cnil, a confirmé qu’il existait au sein de la base de données Discord, 2 474 000 comptes d’utilisateurs français n’ayant pas utilisé leur compte depuis plus de trois ans et 58 000 comptes non utilisés depuis plus de cinq ans.

 

• Un manquement à l’obligation d’information

 

L’un des nombreux autres manquements observés par la Cnil était que la société disposait, en réalité, d’une politique de conservation des données lacunaire.

 

L’information n’était, en effet, pas précise concernant les durées de conservation au moment du contrôle en ligne effectué : elle ne comportait ni durées précises, ni critères permettant de déterminer celles-ci. A cet égard, la plateforme manque donc à son obligation d’information consacré à l’article 13 du RGPD.

 

• Un manquement à l’obligation de garantir la protection des données par défaut

 

L’autre problème constaté par l’autorité, concerne le fait que l’application continue de fonctionner en arrière-plan alors même que l’utilisateur pensait la quitter.

 

Ainsi, l’un des risques pour l’utilisateur est qu’il soit entendu par les autres participants présents à la conversation alors qu’il pensait l’avoir quitté.

 

La formation restreinte estime donc que Discord a manqué à son obligation de garantir la protection des données par défaut consacré à l’article 25.2 du RGPD, en n’informant pas spécifiquement les utilisateurs qu’ils peuvent être entendus alors qu’ils pensent avoir quitté l’application.

 

• Un manquement à l’obligation d’assurer la sécurité des données personnelles

 

La Cnil a jugé la politique de gestion de mot de passe consistant en une formule composée de 6 chiffres ou lettres, n'était pas "suffisamment robuste" et contraignante afin de garantir la sécurité des comptes des utilisateurs.

 

A cet égard, l’autorité estime que la société a manqué à son obligation d’assurer la sécurité des données personnelles consacrée à l’article 32 du RGPD.             
 

• Un manquement à l’obligation d’effectuer une analyse d’impact relative à la protection des données

 

L’autorité relève que la société Discord Inc. n’a pas réalisé une analyse d’impact relative à la protection des données consacré à l’article 35 du RGPD.

 

Une telle analyse d’impact est nécessaire notamment au regard du volume de données traitées par la société et de l’utilisation de ses services par des mineurs.

​

Une coopération entre la Cnil et Discord 

 

Il a été observé que tout au long de la procédure, la société Discord Inc, a mis en place de nombreuses mesures qui ont permis, in fine, une collaboration totale avec la Cnil.

 

Sont alors mis en place :

 

• une politique écrite prévoyant notamment la suppression des comptes après deux ans d’inactivité de l’utilisateur ;

 

• une fenêtre « pop-up » permettant, lorsque la fenêtre a été fermée pour la première fois, d’alerter les utilisateurs connectés que l’application est toujours en fonctionnement et que ce paramètre peut directement être modifié par l’utilisateur ;

 

• une procédure de sécurisation de l’accès aux comptes : elle exige désormais des utilisateurs qu’ils définissent un mot de passe d’au moins huit caractères avec, au minimum, trois des quatre catégories de caractères disponibles (minuscules, majuscules, chiffres et caractères spéciaux) et active un système de captcha après dix tentatives de connexion non abouties ;

 

• la réalisation de deux analyses d’impact pour son traitement lié au service Discord  et à ses services essentiels, qui ont conclu que le traitement n’est pas susceptible d’engendrer un risque élevé pour les droits et libertés des personnes.