Discord sanctionnée de 800 000 euros pour cinq manquements au RGPD, le détail de la décision de la CNIL

La CNIL reproche à Discord de ne pas avoir respecté des obligations prévues par le règlement général sur la protection des données. Cinq manquements sont listés, notamment sur les « durées de conservation et de sécurité des données personnelles ». Deux autres manquements ont été relevés, mais finalement pas retenus après des explications de la société.

La CNIL a publié un communiqué, mais aussi sa délibération bien plus complète, qui permet de mieux cerner les tenants et aboutissants de son enquête. La Commission rappelle que Discord est un service « populaire parmi la communauté des joueurs de jeux vidéo » et qu’il est « devenu un réseau social complet avec un large éventail de façons d’interagir ». La Commission ajoute que cette application « a connu une forte popularité pendant le confinement lié à la pandémie de Covid-19, en particulier auprès d’un jeune public ».

C’était notamment le cas en France lors des confinements avec la mise en place de la « continuité pédagogique ». Enseignants, parents et élèves n’étaient pas prêts, quoi qu’en disait le ministre de l’époque et, dans l’urgence, des élèves ont apporté leur aide aux professeurs en mettant en place des classes virtuelles sur les outils qu’ils connaissaient bien, notamment Discord. Les questions autour du RGPD étaient alors passées au second plan. 

• Fermeture des écoles, collèges, lycées et universités… le jour d'après
• Continuité pédagogique : caramba, encore raté !

Quoi qu’il en soit, la CNIL a décidé d’effectuer un contrôle en ligne du site et de l’application mobile de Discord le 17 novembre 2020. Le 29 décembre de la même année, une mission de contrôle sur pièces était lancée, avec l’envoi d’un questionnaire à la société. Les 5 et 12 février 2021, Discord a renvoyé « des éléments de réponse à la CNIL ». Le ping-pong a continué avec une demande d’éléments complémentaires le 8 mars, puis des réponses les 23 et 24 mars.

Presque un an plus tard, le 25 février 2022, la rapporteure de la CNIL « a fait notifier à la société un rapport détaillant les manquements au RGPD qu’elle estimait constitués en l’espèce ». Le rapport proposait de prononcer une amende administrative et de la rendre publique, « mais qu’il ne soit plus possible d’identifier nommément la société à l’expiration d’un délai de deux ans à compter de sa publication ».

Manquement sur la protection des données par défaut

Commençons par un manquement à l’article 25 du RGPD, qui dispose que « le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées ». 

Ce n’était pas le cas pour la CNIL : 

« L’utilisateur doit effectuer plusieurs actions pour quitter l’application Discord sous Windows et Linux. L’application est paramétrée afin de rester active même lorsque l’utilisateur ferme la fenêtre principale (en sélectionnant l’icône " X " situé en haut à droite), ce qui permet de continuer à communiquer vocalement tout en n’occupant plus de place sur le bureau de l’ordinateur.

Seul un petit indicateur permet de comprendre que l’application est active. Cet indicateur était présent dans la barre des tâches, qui se situe en bas à droite de l’écran sous Microsoft Windows, à côté des date et heure ».

Problème pour la rapporteure, ce paramétrage « conduisait à ce que des données à caractère personnel de l’utilisateur puissent être communiquées à des tiers par le biais du salon vocal, alors même que celui-ci pensait, en l’absence d’information spécifique suffisamment visible et claire, que leur collecte avait cessé lorsqu’il avait choisi de fermer la fenêtre de l’application ».

Selon Discord, pas de doute : « lorsqu’un utilisateur connecté à un salon vocal clique sur l’icône " X " située en haut à droite, il ne pense aucunement quitter l’application en question et a bien conscience qu’il est toujours connecté audit salon ». La plateforme ajoute que l’utilisateur « est informé à plusieurs reprises que, pour quitter un salon vocal, il doit cliquer sur le bouton "déconnexion" ». La société se justifie aussi en expliquant qu’il est « primordial de prendre en compte le fonctionnement d’applications similaires ».

Des explications qui n’ont pas convaincu la CNIL. Sa formation restreinte reconnait qu’il existe en effet des applications de communication qui ne sont que réduites en arrière-plan après un clic sur la croix de fermeture. Mais dans ce cas, soit les applications « informent avec une fenêtre surgissante l’utilisateur lors du premier clic sur la croix que l’application va passer en arrière-plan, mais continuer de fonctionner », soit « le comportement de réduction en arrière-plan n’est pas activé et c’est à l’utilisateur de le paramétrer manuellement ». Ce qui n’était pas le cas de Discord.

La CNIL considère donc que la société n’a pas respecté les obligations de l’article 25 du RGPD sur la protection des données par défaut. Néanmoins, elle note que Discord a désormais « mis en place une fenêtre "pop-up" permettant, lorsque la fenêtre a été fermée pour la première fois, d’alerter les personnes connectées à un salon vocal de ce que l’application Discord est toujours en cours de fonctionnement et que ces paramètres peuvent directement être modifiés par l’utilisateur ».

Manquement sur la conservation des données

Un autre manquement concerne l’article 5 et « l’obligation de définir et de respecter une durée de conservation des données proportionnée à la finalité du traitement ». Problème, la société n’avait défini aucune politique sur ce point et ne procédait à « aucun effacement ou archivage régulier des données à l’issue d’une période définie ».

Ainsi, la base de données comprenait « 2 474 000 comptes d’utilisateurs français n’ayant pas utilisé leur compte depuis plus de trois ans et 58 000 comptes non utilisés depuis plus de cinq ans, sans que la société ait fourni d’explication ou de justification particulière quant à la conservation de ces comptes inactifs ». Dans sa délibération, la CNIL rappelle qu’elle recommande « que les comptes soient considérés comme inactifs au bout de deux ans et soient supprimés à l’issue de ce délai ». 

Malgré des explications de Discord, la CNIL considère « que la société a méconnu ses obligations ». Elle prend néanmoins acte que la société « dispose désormais d’une politique de durée de conservation des données à caractère personnel traitées écrite, laquelle prévoit notamment la suppression des comptes après deux ans d’inactivité de l’utilisateur ». Discord est désormais en conformité sur l’article 5.

Manquement sur l’obligation d’information et d’assurer la sécurité

L’article 13 posait aussi problème : « Au moment du contrôle en ligne effectué, l’information était lacunaire concernant les durées de conservation : elle ne comportait ni durées précises, ni critères permettant de déterminer celles-ci ». La société s’est néanmoins mise en conformité au cours de la procédure.

En se basant sur l’article 32 du RGPD, la rapporteure explique que, lors de la création d’un compte, « un mot de passe composé de six caractères incluant des lettres et des chiffres était accepté », ce qui n’est pas suffisant pour permettre « d’assurer la sécurité des données à caractère personnel traitées par la société et d’empêcher que des tiers non autorisés aient accès à ces données ». La CNIL rappelle au passage qu’elle recommande « au minimum huit caractères, contenant au moins trois des quatre catégories de caractères (majuscules, minuscules, chiffres et caractères spéciaux) ».

• Phrases de passe : la CNIL passe elle aussi en mode 2.0
• Phrases de passe : l'ANSSI passe en mode 2.0

Pour sa défense, Discord affirme avoir mis en place des mesures « permettant de garantir un niveau élevé de sécurité », notamment pour empêcher les attaques par force brute : « limitation des tentatives de connexion à une par seconde ; vérification par courriel ou SMS pour valider l’identifiant lorsque la société reçoit une demande de connexion provenant d’une adresse IP située en dehors de la zone de l’adresse IP de connexion précédente ; rejet des mots de passe couramment utilisés et compromis et implémentation d’un "captcha" pour les connexions à partir de nouvelles plages d’adresses IP ».

Peu importe pour la CNIL, la « longueur et la complexité d’un mot de passe demeurent des critères élémentaires permettant d’apprécier la force de celui-ci ». Pendant la procédure des changements ont été apportés. Désormais l’application exige « des utilisateurs français qu’ils définissent des mots de passe d’une longueur minimale de huit caractères, dont au moins trois de ces caractères sont des lettres minuscules, des lettres majuscules, des chiffres ou des caractères spéciaux ».

Bref, c’est un manquement à l’article 32 du RGPD selon la CNIL, mais avec les modifications apportées, Discord s’est mise en conformité.

Manquement à l’obligation d’effectuer une analyse d’impact 

Le dernier manquement concerne l’article 35 du RGPD qui dispose que « lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel ». 

De son côté, Discord a estimé « qu’il n’était pas nécessaire de réaliser une analyse d’impact relative à la protection des données » étant donné qu’elle « ne traite que des données très limitées ». La société est renvoyée dans ses cordes par la formation restreinte de la CNIL, pour qui l'entreprise « met en œuvre un traitement de données à caractère personnel à grande échelle ».

De plus, l’application « a également vocation à être utilisée par des enfants âgés de quinze ans, ce dont la société Discord INC. a pleinement conscience ». Or, « les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu’ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel ».

Bref, l’entreprise aurait dû procéder à une analyse d’impact « au regard du volume de données traitées par la société et de l’utilisation de ses services par des enfants ». Durant la procédure, deux analyses d’impact  ont été lancées, « qui ont conclu que le traitement n’est pas susceptible d’engendrer un risque élevé pour les droits et libertés des personnes ».

Pour la CNIL, la réalisation préalable de ces études « était impérative pour s’en assurer ». Discord a donc « méconnu les obligations de l’article 35 du RGPD ».

Pas de manquement sur l’obligation de transparence…

Lors de son contrôle en ligne, la CNIL avait constaté que le lien « Confidentialité » situé dans le pied de page, ouvrait une page « libellée en ces termes " DISCORD PRIVACY POLICY ". Si la " privacy policy " était aisément accessible à partir du formulaire d’inscription, elle était uniquement disponible en langue anglaise, dans sa version datée du 23 juin 2020 au moment du contrôle en ligne ».

Pour sa défense, « la société précise que la politique de confidentialité était déjà communiquée aux utilisateurs en français au moment du contrôle de la CNIL. Toutefois, un problème technique s’étant produit le 16 novembre 2020 a temporairement empêché la traduction française de la politique de confidentialité d’apparaître sur le site web lors du contrôle ». 

Le problème technique aurait rapidement été identifié et corrigé selon Discord, avec un retour en ligne de la version française de la politique de confidentialité le 3 décembre 2020. Conformément à la demande de la rapporteure de la CNIL, « la formation restreinte prend acte des éléments apportés par la société et estime que ce manquement n’est pas constitué ».

… ni sur le respect du droit d’opposition

Enfin, le dernier point concernait l’article 21 du RGPD qui dispose que « la personne concernée a le droit de s'opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant ».

La rapporteure de la CNIL indique que, parmi les traitements de données personnelles, on retrouve l’élément « Utiliser les données pour améliorer Discord ". Le but est, pour Discord, d’utiliser les informations pour « améliorer le contenu et les fonctionnalités des services, mieux comprendre [ses] utilisateurs et améliorer le service ». Les données récupérées comprennent l’IP, l’identifiant de l’utilisateur, le système d’exploitation, les serveurs de discussion rejoints, les contacts/amis, les jeux joués, l’abonnement éventuel à la version premium, les achats, les fonctionnalités utilisées, les activités dans la plateforme, etc.

L’utilisateur peut s’opposer à l’utilisation de ses données dans ce cadre : il doit alors se rendre dans les paramètres et désactiver cette fonctionnalité. « Dans ce cas, la société supprime l’association de l’alias à l’identifiant de l’utilisateur, ce qui l’empêche alors, selon elle, de pouvoir associer les données collectées avec l’alias pseudonyme à l’identifiant de l’utilisateur ». Pour la rapporteure, il ressort que « des informations transmises par la société que des données à caractère personnel de l’intéressé continuent d’être traitées, alors même que l’utilisateur a manifesté son souhait de s’y opposer ».

« La simple rupture du lien entre, d’une part, les données d’utilisation traitées et conservées avec l’alias pseudonyme et, d’autre part, l’identifiant de l’utilisateur associé à son compte n’apparaît pas suffisante pour considérer que le droit d’opposition de l’utilisateur au traitement de ses données pour cette finalité serait dûment pris en compte et effectif », ajoute-t-elle. 

Discord n’a pas la même vision, comme l’explique la CNIL : « la société considère que la possibilité de désactiver la fonction "Utiliser les données pour améliorer Discord" avec un bouton slider ne constitue pas l’exercice du droit d’opposition au sens de l’article 21, paragraphe 1, du RGPD ». 

Sur la question du droit d’opposition, Discord ajoute que « les utilisateurs exercent leur demande auprès de la société Discord ou de son représentant, en justifiant des raisons tenant à leur situation particulière pour permettre à la société d’apprécier si cette condition est remplie. Ce droit n’est pas exercé via le bouton slider ».

Au vue de ces précisions, la rapporteuse propose finalement « de ne pas retenir ce manquement ». Elle a été suivie par la formation restreinte : « l’existence du bouton slider permettant de désactiver la fonction "Utiliser les données pour améliorer Discord" est un paramétrage qui n’a pas pour objet de constituer l’exercice du droit d’opposition au sens de l’article 21 du RGPD et que la société Discord INC. offre une procédure d’opposition conforme à cet article ».

Une sanction publique de 800 000 euros

Maintenant que les bases sont posées, passons à la conclusion. Sans grande surprise, Discord demandait de ne pas prononcer de sanction à son encontre puisqu’elle contestait l’ensemble des manquements qui lui étaient reprochés. La CNIL en a décidé autrement.

Sur le montant de l’amende maintenant, « la société considère que sa bonne foi et sa volonté de coopérer n’ont pas été effectivement prises en compte dans la proposition de la rapporteure ». De son côté, la formation restreinte « souligne que les manquements commis par la société portent sur des obligations touchant aux principes fondamentaux de la protection des données à caractère personnel et que cinq manquements sont constitués ». De plus, les traitements mis en œuvre « concernent un nombre très important de personnes situées en France […] dont des mineurs ».

Au final, des manquements aux articles 5, 13, 25, 32 et 35 du RGPD sont retenus. La CNIL prend acte des « efforts réalisés par la société pour se mettre en conformité tout au long de la procédure, ainsi que le fait que son modèle d’affaires n’est pas fondé sur l’exploitation des données à caractère personnel ».

Ainsi, « une amende administrative d’un montant de 800 000 euros apparaît justifiée ». De plus, rendre publique cette décision « se justifie au regard du nombre de personnes concernées, du nombre de manquements commis et de leur gravité ».

Notez enfin que cette décision peut faire l’objet d’un recours devant le Conseil d’État, dans un délai de quatre mois à compter de sa notification.