La CNIL reproche notamment à la société des manquements relatifs à la durée de conservation des données personnelles de ses utilisateurs. Elle a ainsi constaté l’existence au sein des bases de données de la société de 58 000 comptes inactifs depuis plus de cinq ans. L’information relative à cette durée de conservation était également lacunaire.

L’autorité de contrôle sanctionne par ailleurs l’usage par Discord de simples mots de passe à 6 caractères pour protéger les comptes de ses utilisateurs. Cette condamnation fait ainsi suite à la publication le 17 octobre dernier d’une nouvelle recommandation relative aux mots de passe ; la société a déjà pris des mesures pour remédier à ce manquement.

La CNIL note également un manquement au principe de protection des données par défaut, défini à l’article 25.2 du Règlement 2016/679 du 27 avril 2016 (RGPD). En effet, contrairement à la plupart des programmes, un clic sur le « X » rouge figurant en haut à droite d’une fenêtre Discord a seulement pour effet de mettre l’application en arrière-plan, et non de la fermer. Ainsi, un utilisateur qui effectue une telle action peut être amené à penser qu’il a quitté un salon vocal, alors que le son capté par son micro continue à être transmis. La société informe désormais ses utilisateurs de cette spécificité via une fenêtre pop-up.

Discord avait également négligé de réaliser une analyse d’impact préalable au traitement des données de ses utilisateurs. Pour la CNIL, une telle analyse était obligatoire en l’espèce, compte tenu de l’usage important de l’application par des mineurs (qui doivent être considérés comme des personnes vulnérables, au sens des lignes directrices du G29 relatives aux analyses d’impact).

La CNIL apporte également quelques précisions quant à l’usage d’un bouton unique permettant à l’utilisateur de désactiver l’utilisation de ses données par Discord pour améliorer ses services. Selon l’autorité de contrôle, un tel bouton ne constitue pas un moyen d’exercice du droit d’opposition défini à l’article 21 du RGPD. En conséquence, le fait que des données continuent d’être traitées par l’application suite à l’activation de cette option, sous forme pseudonymisée, ne constitue pas un manquement audit droit.

Il convient par ailleurs de noter que la formation restreinte « acte les efforts réalisés par la société pour se mettre en conformité tout au long de la procédure », qui sont donc pris en compte lors du prononcé de la sanction.

Le Pôle Contrats informatiques, Données et Conformité accompagne les responsables de traitement dans la définition et le suivi de leur politique de traitement des données personnelles, ainsi que dans la gestion des contentieux y-relatifs.

Pour toute question, n’hésitez pas à nous contacter.