Coup dur pour Discord : la CNIL vient d'infliger une amende de 800 000 € à la plateforme pour plusieurs manquements aux obligations imposées par le RGPD. Plusieurs griefs sont mentionnés, et le service de messagerie a depuis rectifié le tir sur les différents points relevés.
Un manquement à l'obligation de définir et de respecter une durée de conservation des données est notamment sanctionné. Le RGPD impose en effet la suppression des données des utilisateurs passé un certain temps. La société a indiqué « ne pas avoir de politique écrite de conservation des données » lors d'une procédure de contrôle.
Au moment du contrôle en ligne effectué, l’information était lacunaire concernant les durées de conservation : elle ne comportait ni durées précises ni critères permettant de déterminer celles-ci.
La CNIL a pu constater qu'il existait 2 474 000 comptes d’utilisateurs français ne s'étant pas connecté depuis plus de trois ans au sein de la base de données de Discord. 58 000 d'entre eux n’étaient plus actifs depuis plus de cinq ans.
Il est aussi reproché à Discord d'avoir mal informé ses utilisateurs sur cet aspect. Cependant, la plateforme s'est mise au pas sur ces deux points en mettant en place une nouvelle politique supprimant les comptes inactifs depuis deux ans.
La CNIL critique également le fonctionnement de Discord sous Windows. Par défaut, l'app se met en arrière-plan lorsqu'on ferme sa fenêtre, ce qui n'est pas commun sous l'OS de Microsoft. L'Autorité estime que cela peut piéger l'utilisateur, pensant avoir fermé le programme et ne réalisant pas que ses paroles sont toujours entendues sur le salon sur lequel il est connecté. Ici aussi, Discord est rentré dans les clous en ajoutant une fenêtre informative la première fois que le programme est minimisé.
Enfin, l'Autorité relève également que Discord permettait la création de comptes avec un mot de passe de seulement six caractères et que la société n'avait pas jugé nécessaire de réaliser une analyse d’impact relative à la protection des données. Ici aussi, Discord a pris des mesures en imposant des mots de passe complexes et en réalisant deux analyses d’impact. Celles-ci ont conclu que le traitement des données par l'entreprise « n’est pas susceptible d’engendrer un risque élevé pour les droits et libertés des personnes ».
