DISCORD INC. condamnée à une amende de 800 000 euros pour manquement aux règles du RGPD

1 décembre 2022

DISCORD INC, condamnée à une amende de 800 000 euros pour manquement aux règles du RGPD

Depuis quelques années, la CNIL (Commission nationale de l’informatique et des libertés) s’attache intensément à sanctionner les violations du RGPD (Règlement général sur la protection des données) en matière de protection des données personnelles. En effet, les applications mobiles étant un moyen privilégié d’accès à des données numériques, il convient de se pencher attentivement sur les potentielles dérives et abus des entreprises « un peu trop gourmandes sur la collecte de données personnelles ».

C’est dans ce prolongement que la plateforme DISCORD, dont le siège social est situé aux Etats-Unis, a été condamnée le 10 novembre 2022 par la CNIL à une amende de 800 000 euros pour non-respect des règles du RGPD relatives à la conservation et la protection des données personnelles.

La sanction de divers manquements en matière de durée de conservation et de sécurité des données personnelles

Comme de nombreuses autres applications mobiles, Discord est une plateforme très appréciée des amateurs de jeux vidéos permettant aux utilisateurs de créer différents serveurs et salons vocaux. cette dernière est donc tenue au règles du RGPD pour protéger les données de ses nombreux utilisateurs, estimés à plus de 300 millions en 2021.

La CNIL a, au terme de divers contrôles en ligne, condamné la société DISCORD pour 5 manquements en matière de conservation et de sécurité des données personnelles des utilisateurs :

  • Manquement à l’obligation de définir et respecter une durée de conservation des données (article 5.1.e RGPD) ;
  • Manquement à l’obligation d’information (article 13 RGPD) ;
  • Manquement à l’obligation de protection des données par défaut (article 25.2 RGPD) ;
  • Manquement à l’obligation de sécurité des données personnelles (article 32 RGPD) ;
  • Enfin, manquement à l’obligation de réaliser une analyse d’impact relative à la protection des données (article 35 RGPD).

De façon plus concrète, il lui est reproché son absence de politique écrite relative à la durée de conservation des données, une politique de gestion des mots de passe insuffisamment contraignante et robuste (exigeait seulement 6 chiffres ou lettres), ou encore le maintien de l’application en arrière-plan y compris après que l’utilisateur clique sur le bouton “X” en haut à droite pour fermer la fenêtre. En effet, la CNIL reproche à Discord de ne pas avoir informé les utilisateurs que l’application continuait de fonctionner y compris après avoir cliqué sur le bouton “X” , ce bouton signifiant en réalité la fermeture de la fenêtre mais non la fermeture de l’application ni du salon vocal. Cela générait alors le risque pour un utilisateur d’être maintenu sur écoute dans la croyance erronée qu’il ne l’était plus, portant ainsi une atteinte considérable à sa vie privée.

C’est donc au regard de l’important risque d’atteinte à la vie privée et la protection insuffisante des données personnelles des utilisateurs, que Discord a été condamnée à une amende de 800 000 euros. En réalité, ce montant a été fixé en prenant en considération les infractions constatées, le nombre de personnes impliquées, et a été largement réduit grâce à la prise en compte des importants efforts réalisés par la société pour s’y conformer tout au long de la procédure.

Une véritable volonté de se conformer aux exigences du RGPD : la reconnaissance par la CNIL des efforts réalisés

En réalité, la CNIL a relevé que Discord s’était efforcé de modifier ses paramètres pour se mettre en conformité. La plateforme a manifesté sa volonté de coopérer avec la CNIL pour assurer une meilleure protection des données personnelles. Un porte-parole de la CNIL affirmait à cet égard “nous mettons continuellement à jour notre produit et nos politiques”.

En effet, plusieurs modifications ont déjà été opérées :

  • La plateforme a d’ores-et-déjà mis en place une politique écrite relative à la durée de conservation des données, prévoyant la suppression des comptes au-delà de 2 ans d’inactivité de l’utilisateur ;
  • A crée une fenêtre “pop up” destinée à avertir l’utilisateur lorsque ce dernier est toujours connecté sur le salon vocal ;
  • A rendu plus contraignants les mots de passe, en exigeant désormais 8 caractères minimum avec au moins 3 catégories différentes de caractère (minuscule, majuscule, chiffres, caractères spéciaux) ;
  • Enfin, Discord a procédé à deux analyses d’impact, ces dernières ayant démontré que le traitement est insusceptible de générer un risque élevé pour les droits et libertés des personnes .

Un bilan qui, quelques jours seulement après sa condamnation, semble déjà très positif.

Derniers articles UYL

Vers un encadrement de l’IA

Approcher juridiquement l’IA IA, ou barbare digramme où tant s’y cloître. Où nos espoirs humains escomptent l’inouïe conscience artificielle et rêvent l’automatisation du demain. Mais avant de projeter sa destinée, ne devrions-nous point cerner l’objet ? Que...