La Cnil prononce une amende de 800 000 € à l'encontre de Discord
-
La CNIL a prononcé une sanction à l’encontre de la société Discord, célèbre plateforme et app de communication. Cette dernière a manqué à plusieurs de ses obligations en matière de conservation et de sécurité des données personnelles.
Discord veillait avec trop de légèreté sur la protection des données des utilisateurs
Getty ImagesEt une sanction pour Discord. La Commission nationale de l’informatique et des libertés (Cnil) a effectué différents contrôles visant à évaluer le respect du RGPD par l’application de communication. Le gendarme des données a relevé plusieurs manquements aux obligations prévues par le texte européen, et décidé de sanctionner l’entreprise à hauteur de 800 000 €.
Une conservation des données peu scrupuleuse
Dans son communiqué, la Cnil a détaillé les différentes infractions commises par Discord. Tout d’abord, la société n’avait aucune politique écrite de conservation des données, et lors de ses recherches, la Cnil a découvert dans la base de données de l’application pas loin de 2,5 millions de comptes d’utilisateurs inactifs depuis trois ans. La Cnil précise toutefois que l’entreprise s’est mise en conformité avec le RGPD durant la procédure, et dispose dorénavant d’une politique écrite de conservation des données spécifiant la suppression des comptes après deux ans d’inactivité de l’utilisateur.
Des données pas assez protégées
En second lieu, la CNIL a considéré que le mot de passe exigé lors de la création d’un compte Discord n’était pas suffisamment robuste. En effet, durant le contrôle, l’application demandait un mot de passe composé de seulement six caractères et n’incluant que des chiffres et des lettres. Un ensemble de caractères jugé beaucoup trop léger. Une fois encore, cette lacune a été corrigée puisque Discord exige désormais un mot de passe de huit caractères minimum avec au moins trois ou quatre catégories de caractères (minuscules, majuscules, chiffres et caractères spéciaux). Un captcha a également été mis en place au bout d’un certain nombre de tentatives de connexion échouées.
Discord a de plus été sanctionné pour une caractéristique présente dans l’application de bureau. Les utilisateurs aguerris de Discord l’ont déjà remarqué, lorsque l’on clique sur la croix rouge de l’application pour la fermer, celle-ci ne se fermait pas réellement et se mettait simplement en tâche de fond. Cette mise au second plan ne déconnectait pas les utilisateurs présents dans un salon vocal, présentant donc certains risques en matière de protection des données et de la vie privée. Discord a depuis implanté une fenêtre pop-up afin d’alerter l’utilisateur qu’il reste connecté à un salon vocal et que Discord est toujours en fonctionnement.
Sources : www.lesnumeriques.com, cnil.fr