La société américaine qui édite le service Discord a accumulé les manquements au RGPD, estime la Cnil. Point positif : pendant la procédure, elle a revu ses pratiques pour se mettre en conformité avec le règlement.

Discord Inc., la société américaine qui édite Discord, un service de voix sur IP (lequel permet d’échanger par microphone et/ou webcam) et de messagerie instantanée, a été épinglée par la Cnil le 10 novembre 2022. L’autorité, qui a commencé à se pencher sur l’entreprise en août 2020, a retenu plusieurs manquements au RGPD. Le premier concerne l’obligation de définir et de respecter une durée de conservation des données adaptée à l’objectif. Discord Inc. a indiqué ne pas avoir défini de politique écrite de conservation des données. Dans la base de données, la Cnil a retrouvé plus de 50 000 comptes non utilisés depuis plus de cinq ans. L’obligation d’information sur les durées de conservation des données n’était pas respectée non plus, pas plus que celle de la protection des données par défaut lorsqu’un utilisateur pense quitter l’application et ne fait en réalité que mettre l’application en arrière-plan, sans la déconnecter. La Cnil a également relevé un manquement à l’obligation d’assurer la sécurité des données personnelles (politique de gestion des mots de passe pas assez robuste) et un manquement à l’obligation d’effectuer une analyse d’impact relative à la protection des données.

Pour la plupart de ces manquements, la société s’est mise en conformité au cours de la procédure. La Cnil a fixé l’amende à 800 000 euros, en tenant compte des manquements observés, du nombre de personnes concernées, des efforts réalisés par Discord Inc. pour modifier ses pratiques et du fait que son modèle économique ne repose pas sur l’exploitation de données personnelles. 

Olivia Fuentes