Cinq infractions au RPGD : c’est le constat de la Cnil après une enquête sur Discord. Les manquements ont été corrigés, mais l’institution prononce quand même une amende de 800 000 euros et rend publique la sanction.

Cinq infractions au Règlement général sur la protection des données (RGPD). Tel est le bilan de la Commission nationale de l’informatique et des libertés (Cnil), à la suite d’une enquête sur Discord. En conséquence, l’institution vient de prononcer ce jeudi 17 novembre 2022 une amende administrative de 800 000 euros.

Discord est une plateforme de communication devenue très populaire ces dernières années, notamment dans le milieu du jeu vidéo, plus encore que des solutions bien établies comme TeamSpeak ou Mumble. Elle offre des outils et des services avancés (canaux écrits, canaux vocaux, visiophonie, partage de fichiers, écoute de musique…), ce qui a contribué à son succès.

Discord // Source : Alexander Shatov / Unsplash
Discord // Source : Alexander Shatov / Unsplash

Parmi les manquements recensés, la Cnil a constaté une durée excessive de conservation des données. Plus de 2,4 millions de comptes étaient conservés alors qu’ils n’avaient pas été utilisés depuis plus de trois ans, et 58 000 autres comptes avaient même dépassé le cap des cinq ans. En réalité, Discord a admis ne pas avoir du tout de politique écrite de conservation des données.

Autre reproche adressé à la plateforme : une information « lacunaire concernant les durées de conservation : elle ne comportait ni durées précises, ni critères permettant de déterminer celles-ci ». Elle n’a pas non plus effectué d’étude d’impact relative à la protection des données — alors que la Cnil estime qu’elle aurait dû inclure cette étape, parce que Discord est utilisé par des mineurs.

Des mots de passe un peu trop faibles sur Discord

Les deux derniers problèmes relevés par la Cnil portent sur la solidité des mots de passe (un code de six caractères avec des lettres et des chiffres suffisait), trop juste, et sur un comportement trompeur de l’application : en cliquant sur la croix de la fenêtre, cela ne fermait pas l’application, mais la passait en arrière-plan. Des gens pouvaient alors s’exprimer en pensant être hors d’écoute, à tort.

La bonne nouvelle, c’est que Discord est rentré dans les clous. Elle a procédé à des ajustements pour les cinq violations relevées par la Cnil. Dans le cas des mots de passe, par exemple, il faut au moins un code de huit caractères et respecter certaines consignes. En cas de dix échecs successifs, la résolution d’un captcha est demandée pour limiter les tentatives d’intrusion.

Quant à la fausse fermeture de Discord avec la croix, l’entreprise a imaginé une fenêtre « pop-up ». Elle signale aux individus connectés à un salon vocal que l’application est toujours en fonctionnement et que ce paramètre peut directement être modifié par l’utilisateur. Des corrections ont aussi été apportées aux trois autres manquements, plus juridiques.

L’amende de 800 000 euros est modérée, compte tenu de la taille de la société. La Cnil précise avoir considéré les cinq infractions, le nombre de personnes touchées par ces problèmes. Elle a aussi tenu compte de la disponibilité de Discord à discuter avec l’institution, de ses efforts pour rentrer dans le rang et le fait, aussi, que son modèle économique n’est pas fondé sur l’exploitation de données personnelles.