La CNIL sanctionne Discord Inc. d’une amende de 800 000 €

  • 27 Apr, ’23
  • RGPD

Passons en revue la sanction envers Discord et les manquements aux obligations de :

  • Définir et de respecter une durée de conservation des données
  • Informer les personnes
  • Garantir la protection des données par défaut
  • Assurer la sécurité des données
  • Effectuer une analyse d’impact relative à la protection des données

Sur le manquement à l’obligation de définir et de respecter une durée de conservation des données proportionnée à la finalité du traitement

La CNIL relève que la société n’a pas défini de politique de durée de conservation des données et que son registre des activités de traitements ne mentionne aucune durée de conservation des données à caractère personnel traitées. Ainsi, les données sont conservées depuis plus de six ans, date à laquelle le service DISCORD a été lancé, la société ne procédant à aucun effacement ou archivage régulier des données à l’issue d’une période définie.

Sont concernés 2 474 000 millions de comptes d’utilisateurs français n’ayant pas utilisé leur compte depuis plus de 3 ans et 58 000 comptes non utilisés depuis plus de 5 ans.

Rappelant la mise en place du référentiel CNIL relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion des activités commerciales le 3 février 2022, la Commission recommande que les comptes soient considérés comme inactifs au bout de 2 ans et soient supprimés à l’issue de ce délai, sauf si l’utilisateur exprime le souhait de maintenir son compte actif.

La société indique qu’elle n’avait pas de politique écrite de conservation des données en février 2021, mais soutient qu’elle était toutefois en conformité avec l’article 5 du RGPD, puisqu’elle avait déterminé et mis en œuvre des durées de conservation directement codées dans le service DISCORD en tant que tel. Elle indique que la durée de conservation mise en œuvre correspond à la durée de la relation contractuelle avec ses utilisateurs, ainsi qu’à des durées déterminées en fonction de ses obligations légales et de ses obligations en matière de sécurité qu’elle est tenue de respecter sans pour autant les préciser.

Malgré les arguments de Discord, en soulevant également que ce précédent référentiel soit sorti après la procédure de contrôle, et qui se défini comme, je cite : « un service de communication impliquant de maintenir les comptes dits inactifs dans l’intérêt même des utilisateurs », l’infraction est prononcée comme une méconnaissance à l’article 5 du RGPD.

La formation restreinte considère que la société ne saurait se prévaloir en l’espèce du maintien d’une relation contractuelle pour conserver indéfiniment des comptes d’utilisateurs totalement inactifs, mais qui ne se seraient pas désinscrits, dès lors que le compte a été créé gratuitement et qu’un utilisateur inactif qui souhaiterait utiliser à nouveau le service peut le faire en recréant un compte à tout moment.

Néanmoins, la formation restreinte considère dès lors que la société s’est mise en conformité avec les obligations découlant de l’article 5, paragraphe 1, e) du RGPD.

Sur le manquement à l’obligation d’information des personnes

La formation restreinte considère qu’au moment du contrôle en ligne effectué, les durées de conservation étaient énoncées de manière générique et n’étaient pas suffisamment explicites. L’information était lacunaire, puisqu’elle ne comportait ni durée précise, ni critères permettant de déterminer les durées de conservation. En tout état de cause, la formation restreinte rappelle que le recours aux « critères utilisés pour déterminer cette durée » n’est permis que lorsqu’il n’est pas possible de fournir une durée précise. Or, ce n’est pas le cas concernant des traitements mis en œuvre par la société dans les faits. Il en résulte que les personnes ne pouvaient pas connaître les durées de conservation établies par la société DISCORD INC. Cette information est importante afin de garantir « un traitement équitable et transparent ».

Elle estime néanmoins que la société s’est désormais mise en conformité sur ce point.

Sur le manquement à l’obligation de garantir la protection des données par défaut

Concernant ce manquement, la CNIL relève que l’application est paramétrée afin de rester active même lorsque l’utilisateur ferme la fenêtre principale, ce qui permet de continuer à communiquer vocalement tout en n’occupant plus de place sur le bureau de l’ordinateur. Seul un petit indicateur présent dans la barre des tâches situé en bas à droite de l’écran permet de savoir que l’application est toujours active.

La CNIL conclut que ce paramétrage de l’application conduisait à ce que des données à caractère personnel de l’utilisateur puissent être communiquées à des tiers par le biais du salon vocal. Aucune information spécifique et suffisamment visible et claire ne permettait de le savoir. L’utilisateur pouvait penser que leur collecte avait cessé lorsqu’il avait fermé la fenêtre de l’application.

En défense, la société indique que l’une des fonctionnalités premières de DISCORD est de pouvoir échanger avec des amis, souvent en faisant autre chose, comme en jouant à un jeu vidéo ou en naviguant sur le web. Selon la société, l’utilisateur souhaite uniquement voir sur son écran le jeu auquel il est en train de jouer et toute intrusion sur son écran impacterait son jeu et le dérangerait. Elle considère que l’utilisateur ne pense aucunement quitter l’application en cliquant sur « X » et a bien conscience qu’il est toujours connecté audit salon. Il est informé à plusieurs reprises que, pour quitter un salon vocal, il doit cliquer sur le bouton « déconnexion ».

Par ailleurs, les modalités de fermeture peuvent être modifiées grâce à un paramétrage mis à la disposition des utilisateurs, qui peut décider d’une seule action à effectuer pour fermer l’application. Elle précise avoir désormais mis en place une fenêtre de type « pop-up » qui indique aux utilisateurs que l’application DISCORD est toujours en cours de fonctionnement lorsque la fenêtre a été fermée et que ces paramètres peuvent directement être modifiés par l’utilisateur.

La formation restreinte précise que, en l’espèce et avant la mise en place de la fenêtre type « pop-up » mentionnée ci-avant, la réduction en arrière-plan avait lieu par défaut dès la première utilisation après l’installation, sans aucun avertissement ou information claire. En conséquence, la société ne saurait valablement soutenir que le fonctionnement de l’application correspondrait aux attentes de l’utilisateur, dans la mesure où d’autres applications informent la personne ou permettent à l’utilisateur d’effectuer lui-même ce paramétrage spécifique.

En deuxième lieu, la formation restreinte relève que ce paramétrage par défaut de l’application mise en arrière-plan conduisait à ce que des données à caractère personnel de l’utilisateur puissent être communiquées à des tiers sans qu’il en ait nécessairement conscience. Un tel paramétrage, en l’absence d’information suffisamment claire et visible, présentait des risques importants pour les utilisateurs, notamment d’intrusion dans leur vie privée.

Elle considère que la société a méconnu ses obligations résultant de l’article 25, paragraphe 2, du RGPD, qui impose la protection des données par défaut.

Elle prend néanmoins acte de ce que la société DISCORD INC. a désormais mis en place une fenêtre « pop-up » permettant, lorsque la fenêtre a été fermée pour la première fois, d’alerter les personnes connectées à un salon vocal de ce que l’application DISCORD est toujours en cours de fonctionnement et que ces paramètres peuvent directement être modifiés par l’utilisateur.

Sur le manquement à l’obligation d’assurer la sécurité des données

Lors de la création d’un compte sur DISCORD, un mot de passe composé de six caractères incluant des lettres et des chiffres était accepté. La CNIL a considéré que de tels mots de passe, sans critère de complexité suffisant et n’étant associés à aucune mesure de sécurité complémentaire, ne permettent pas d’assurer la sécurité des données à caractère personnel traitées par la société et d’empêcher que des tiers non autorisés aient accès à ces données.

En défense, la société considère avoir mis en place des mesures permettant de garantir un niveau élevé de sécurité pour l’accès de ses utilisateurs à son système, y compris des mesures afin d’empêcher les attaques par force brute :

  • Limitation des tentatives de connexion à une par seconde ;
  • Vérification par courriel ou SMS pour valider l’identifiant lorsque la société reçoit une demande de connexion provenant d’une adresse IP située en dehors de la zone de l’adresse IP de connexion précédente ;
  • Rejet des mots de passe couramment utilisés et compromis ;
  • Implémentation d’un « captcha » pour les connexions à partir de nouvelles plages d’adresses IP.

Elle a par ailleurs apporté des modifications à ses processus de sécurité des mots de passe dans le cadre de la procédure de sanction en exigeant désormais des utilisateurs français qu’ils définissent des mots de passe d’une longueur minimale de huit caractères, dont au moins trois de ces caractères sont des lettres minuscules, des lettres majuscules, des chiffres ou des caractères spéciaux ; et après dix tentatives de connexion infructueuses, la société exige la résolution d’un « captcha ».

La formation restreinte considère que la longueur et la complexité d’un mot de passe demeurent des critères élémentaires permettant d’apprécier la force de celui-ci. Elle relève à cet égard que la nécessité d’un mot de passe fort est également soulignée par l’ANSSI.

En l’espèce, un mot de passe composé de six caractères incluant des lettres et des chiffres était accepté au moment du contrôle en ligne. Au regard des règles peu exigeantes encadrant leur composition, ainsi que du volume de données personnelles à protéger, la robustesse des mots de passe admis par la société était trop faible, conduisant à un risque de compromission des comptes associés et des données à caractère personnel qu’ils contiennent, et ce malgré les mesures de sécurité complémentaires mises en place avant la procédure de sanction.

Dans ces conditions, la formation restreinte considère que les faits précités constituent un manquement à l’article 32 du RGPD, dès lors que la politique de gestion des mots de passe de la société n’était pas suffisamment robuste et contraignante pour garantir la sécurité des données, au sens de cet article.

Elle relève néanmoins que, dans le cadre de la procédure de sanction, la société a apporté des modifications sur ce point et s’est mise en conformité avec les dispositions de l’article 32 du RGPD.

Sur le manquement à l’obligation d’effectuer une analyse d’impact relative à la protection des données

La CNIL considère que la société aurait dû réaliser une analyse d’impact relative à la protection des données (ci-après « AIPD »), au regard de deux critères permettant de considérer un risque élevé pour les données personnelles : la collecte de données à grande échelle et la collecte de données concernant des personnes vulnérables. Elle estime que les traitements mis en œuvre par la société sont susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques.

En défense, la société DISCORD INC. indique avoir considéré qu’une AIPD n’était pas nécessaire dans la mesure où elle ne traite que des données très limitées ; elle n’effectue aucun des traitements listés à l’article 35, paragraphe 3, du RGPD comme requérant une analyse d’impact ; elle n’effectue aucune des opérations de traitement pour lesquelles la CNIL a considéré qu’une AIPD est requise ; elle ne traite pas de données sur des « enfants », puisqu’elle s’adresse uniquement aux utilisateurs de plus de quinze ans qui disposent d’un degré de maturité suffisant pour utiliser ses services.

Enfin, la société explique qu’elle a depuis réalisé deux AIPD pour son traitement lié au service DISCORD et à ses services essentiels, lesquels ont conclu que le traitement n’est pas susceptible d’engendrer un risque élevé pour les droits et libertés des personnes.

La formation restreinte considère qu’en traitant les données de très nombreux utilisateurs en France, la société DISCORD INC. met en œuvre un traitement de données à caractère personnel à grande échelle. De surcroît, la formation restreinte relève que l’application a également vocation à être utilisée par des enfants âgés de quinze ans, ce dont la société DISCORD INC. a pleinement conscience, puisqu’elle indique elle-même qu’elle « s’engage à protéger la vie privée des enfants et a par conséquent mis en place des mesures pour s’assurer qu’aucun enfant n’ayant pas l’âge minimum défini pour chaque pays puisse accéder aux services de Discord et créer un compte ».

La formation restreinte rappelle que même si un mineur peut consentir seul à un traitement de données à caractère personnel en ce qui concerne l’offre directe de services de la société de l’information à compter de l’âge de quinze ans, il n’en demeure pas moins que le mineur entre quinze et dix-huit ans reste un enfant, et donc une personne vulnérable.

En conséquence, au regard du volume de données traitées par la société et de l’utilisation de ses services par des enfants, la formation restreinte estime que la société aurait dû procéder à une analyse d’impact du traitement de données mis en œuvre.

Compte tenu de l’ensemble de ces éléments, la formation restreinte considère que la société a méconnu les obligations de l’article 35 du RGPD.

La formation restreinte de la CNIL, après en avoir délibéré, décide de prononcer une amende administrative d’un montant de 800 000 euros pour les 5 manquements touchant aux principes fondamentaux de la protection des données à caractère personnel ; et rendre publique, sur le site de la CNIL et sur le site de Légifrance, sa délibération, qui n’identifiera plus nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.

#RGPD #CNIL #Sanction
Discord sanctionné par la CNIL

Célia Remark

Alternante Marketing chez Solutions 909, je suis chargée de création de contenu pour les réseaux sociaux.