Discord, pas très regardant avec vos données personnelles ? Voilà pourquoi la CNIL sanctionne l'appli

Alexandre Boero
Chargé de l'actualité de Clubic
17 novembre 2022 à 12h40
5
© Discord
© Discord

La CNIL vient de sanctionner Discord. L'autorité a infligé au logiciel une amende frôlant le million d'euros, pour divers manquements au RGPD sur la protection des données personnelles des utilisateurs.

Discord, rattrapé par la patrouille. La Commission nationale de l'informatique et des libertés (CNIL) a annoncé, jeudi, avoir sanctionné le service de voix sur IP (VoIP) d'une amende de 800 000 euros. L'autorité française a soulevé plusieurs manquements au règlement général sur la protection des données (RGPD), sur des questions notamment de durées de conservation et de sécurité des données personnelles. L'entreprise américaine a semble-t-il fait preuve de coopération durant la procédure, ce qui vient atténuer la sanction. Mais voyons ce que la CNIL lui reprochait précisément.

Discord, poussé par la CNIL à avoir une politique écrite de conservation des données

Le premier manquement constaté tient à l'obligation de définir et de respecter une durée de conservation des données adaptée à l'objectif visé, fixée par l'article 5.1.e du RGPD. La CNIL a trouvé, au sein de la base de données Discord, la présence de 2,5 millions de comptes d'utilisateurs français n'ayant pas remis un pied sur l'application depuis trois ans. Ajoutez à cela les 58 000 autres comptes inactifs depuis plus de cinq ans.

Pour l'autorité, il y avait ici manquement en ce qu'au moment du contrôle, la société ne possédait pas de politique écrite de conservation des données. Une erreur désormais réparée, avec un service qui prévoit formellement la suppression d'un compte dès lors que celui-ci dépasse les deux ans d'inactivité.

Discord a également enfreint l'article 13 du RGPD, relatif à l'obligation d'information. Lors du passage de la CNIL, l'entreprise californienne était plutôt incomplète sur la question des durées de conservation. Elle ne présentait en effet pas de durées précises ni de critères permettant d'obtenir des informations claires sur le sujet. Mais depuis, la société californienne s'est mise en conformité.

Quitter un salon vocal sous Windows ne déconnectait pas vraiment l'utilisateur du salon

La CNIL est également tombée de son fauteuil sur la question de l'obligation à garantir la protection des données par défaut (sacrée par l'article 25.2 du RGPD). Prenons l'exemple d'un utilisateur de Discord, connecté à un salon vocal, qui ferme la fenêtre de l'appli en cliquant sur l'icône X sous Windows. En réalité, il ne fait que mettre l'application en arrière-plan, et reste ainsi connecté dans le salon vocal. Ce qui évidemment pose problème aux yeux du gendarme des données.

« Le comportement de Discord peut conduire à ce que des utilisateurs soient entendus par les autres membres présents dans le salon vocal, alors qu'ils pensaient l'avoir quitté », souligne la CNIL, qui estime que l'entreprise se devait d'informer l'utilisateur, en lui précisant qu'en quittant la fenêtre, il pouvait néanmoins être toujours entendu par d'autres personnes.

© Discord
© Discord

En marge de la procédure de l'autorité française, Discord a donc mis en place une fenêtre pop-up qui permet, dès lors que la fenêtre est fermée, d'alerter l'utilisateur connecté à un salon vocal, que l'application est toujours en fonctionnement et qu'il peut directement modifier ce paramètre.

Les exigences autour des mots de passe étaient bien trop faibles, Discord y remédie

Lorsque vous créez un compte sur Discord, un mot de passe de six caractères seulement, incluant des lettres et des chiffres, suffisait à aller au bout du processus, ce qui a alerté la CNIL au moment de son contrôle, brandissant alors l'article 32 du règlement général sur la protection des données. Pour le gendarme des données, la gestion des mots de passe n'était pas suffisamment forte et contraignante pour garantir la sécurité des comptes des utilisateurs.

L'autorité indique que Discord a pris des mesures pour une meilleure sécurisation des comptes. Les utilisateurs doivent effectivement définir un mot de passe de huit caractères minimum, avec l'exigence de trois catégories de caractères parmi les minuscules, majuscules, chiffres et caractères spéciaux. En outre, après dix tentatives de connexion non abouties, Discord exige de ses utilisateurs la résolution d'un captcha. Des efforts jugés rassurants et satisfaisants par la CNIL.

Une discorde désormais atténuée

Dernier manquement soulevé par la CNIL : celui portant sur l'obligation d'effectuer une analyse d'impact relative à la protection des données (article 35 du RGPD). Que s'est-il passé ? Discord a considéré qu'il n'était pas nécessaire, tout simplement, de réaliser une telle analyse. La formation restreinte de la CNIL a, de son côté, estimé que l'entreprise a eu tort, dans la mesure où elle traite un volume de données considérable, et que son service est utilisé par de nombreux mineurs.

Discord a fini par entendre raison, sur ce point aussi, en réalisant durant la procédure non pas une mais deux analyses d'impact pour son traitement lié au service Discord et à ses services essentiels. À l'issue des analyses, le traitement des données n'était pas susceptible d'engendrer un risque élevé pour les droits et libertés des personnes.

L'entreprise Discord faisait donc état de multiples manquements, sans véritable volonté de nuire aux utilisateurs, et la CNIL le souligne bien, en insistant sur la bonne coopération de la firme avec ses services.

Source : CNIL

Alexandre Boero

Alexandre Boero

Chargé de l'actualité de Clubic

Chargé de l'actualité de Clubic

Journaliste, chargé de l'actualité de Clubic. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJC...

Lire d'autres articles

Journaliste, chargé de l'actualité de Clubic. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJCAM, école reconnue par la profession), pour écrire, interviewer, filmer, monter et produire du contenu écrit, audio ou vidéo au quotidien. Quelques atomes crochus avec la Tech, certes, mais aussi avec l'univers des médias, du sport et du voyage. Outre le journalisme, la production vidéo et l'animation, je possède une chaîne YouTube (à mon nom) qui devrait piquer votre curiosité si vous aimez les belles balades à travers le monde, les nouvelles technologies et la musique :)

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (5)

Korgen
Ca fait des années que mon clan est resté sur teamspeak quitte à nous attirer des moqueries, c’est pas pour rien. Ca fait longtemps que je dis que discord est une plaie en termes de sécurités et de protection des données. Merci la CNIL d’avoir enfin mis le doigt dessus.
Goodbye
C’est très bien que la CNIL leur tape dessus, il faut respecter les règles.<br /> En revanche je vois pas en quoi cela est un problème pour la protection des données de votre clan, tous les manquements cités, n’est « rien » pour l’utilisateur lambda ou le gaming.<br /> Par contre, d’un point vu professionnel (et oui je connais pas mal d’entreprises qui utilisent discord…) c’est vraiment à éviter.<br /> M’enfin, si vous préférez voyager en barque plutôt qu’en croisière de luxe, c’est votre choix ^^
Korgen
C’est simple, discord nécessite la création d’un compte avec email et compagnie, le chat est stocké sur leurs serveurs, etc… Discord est plus susceptible de subir un leak de données.<br /> Teamspeak ne nécessite aucun compte, aucune adresse email, la partie serveur est hébergée sur un serveur perso sur lequel on a un contrôle total, les codec audio sont de meilleure qualité, etc…<br /> Discord a explosé grâce à sa gratuité à un moment où teamspeak a changé sa politique de licences. Sans entrer dans les détails on est restés sur les licences ts3 gratuites, le choix est vite fait.
Goodbye
Oui je l’entends, c’est d’ailleurs pour cela que c’est une aberration pour du professionnel.<br /> Mais pour du gaming, vous avez peur qu’on vole vos strats ?<br /> Vos emails sont déjà partout sur le web, ou alors vous tournez tous sur linux sans aucun compte google et pas de smartphone apple ou android…<br /> Pour l’audio ces peanuts, inaudibles, sauf si vous avez tous des micros de streamer, et encore.<br /> Je ne vais pas dresser la liste des avantages qu’offre discord à Teamspeak, mais s’il y a eu une migration majeure, ce n’est pas uniquement à cause de la gratuité, mais surtout pour son fonctionnement globalement plus intuitif (une UI digne du 21 èm siècle), et la mise en place de serveurs en 3.5 secs par n’importe quel utilisateur lambda.<br /> Après si vous êtes heureux sur teamspeak, libre à vous d y rester ^^, mais c’est pas un vrai argument la sécurité informatique pour votre clan.
Bibifokencalecon
Toutes les remarques de la CNIL (et à travers la RGPD) envers Discord sont légitimes mais 2 choses se dégagent :<br /> la compagnie Discord a fait les efforts demandés dans un temps plus que raisonnable au moyen de leur organisation.<br /> aucune volonté de nuire aux usagers, simplement, comme un grand nombre de compagnie, se mettre à jour pour suivre les standards RGPD n’est pas un processus rapide, et cela est même très contraignant.<br /> Ces 5 dernières années, je ne compte plus le nombre de projets applicatifs sur lequel j’ai travaillé ou que j’ai suivi qui tentaient de se mettre à jour dans les temps pour éviter le fameux retour de bâton RGPD (amende, sanction, etc.). Personne ne remettait en cause les principes de la RGPD, c’est simplement que l’expérience n’a pas toujours été une sinécure.<br /> Discord ne demande qu’un courriel et un mot de passe pour se créer un compte et se connecter. Les espaces sont indépendants et bien cloisonnés entre eux. La qualité de service est très correcte. L’application est peu gourmande. Pour un usage ludique, c’est très suffisant.<br /> Même mes scouts (11-14 ans) durant la COVID ont opté pour cette plateforme afin de rester en contact régulièrement. Ils sont très sensibles sur le sujet de la visibilité des données personnelles, évitant tout réseaux sociaux par exemple. C’était soit cela, soit Microsoft Teams, soit Zoom (qui a l’époque était une passoire). Ils ont pour la plupart utilisé une boîte courriel « poubelle » et utilisent des pseudos différents selon les espaces. Avoir des salons textuels et des salons vocaux, publics ou privés, et pouvoir installer facilement des bots sont de vrais plus.<br /> Et pour moi, comme nombre d’autres personnes ici, il a remplacé progressivement TeamSpeak.
Korgen
Je ne parle pas de sécurité pour le clan mais de sécurité pour les utilisateurs ^^<br /> Les données ne se limitent pas au contenu du chat : adresses email, numéros de téléphone, type d’activité, horaires et temps de connexion, etc…<br /> Que nos emails soient déjà sur des listes revendues, c’est une chose (bien qu’il soit possible de passer à travers) mais c’est pas une raison pour en rajouter. Ton discours reviendrait à dire « l’atmosphère est déjà polluée, on peut bien ajouter une usine de produits chimiques polluante ça se verra pas ». J’exagère un peu l’exemple mais l’idée est là.<br /> Pour l’audio je t’assure que j’entend la différence. J’admet avoir l’oreille aguerrie par des années et des années de musique mais je ne suis pas le seul à l’avoir constaté.<br /> Pour être plus exact, les communautés sont passé de Teamspeak à Mumble en raison de la gratuité et de Mumble à Discord pour cette même raison et pour son côté moins austère. Mais soyons honnêtes, le commun des mortels va utiliser quel pourcentage des possibilités de Discord ? La plupart de ceux que je côtoie (et il y en a un paquet) se moquent de l’UI, d’envoyer des GIF ou d’interagir avec un bot : ils lancent le vocal et le laissent en arrière-plan. En celà, que ce soit TS ou Mumble ou autre, c’est amplement suffisant.<br /> Alors oui, les serveurs se créent facilement. J’ai créé un serveur Discord de secours si jamais on a un problème sur TS demandant une maintenance longue (sachant que TS n’est pas la seule chose hébergée dessus ^^), mais ton discord ne t’appartient pas et tu n’as pas la main sur tout. En tant qu’admin ça me pose un problème
Goodbye
Quelle horreur mumble ^^ un peu comme ventrilo (:<br /> Je n’ai jamais entré mon numéros de téléphone sur discord, effectivement je ne souhaite pas non plus qu’il ai trop de données.<br /> Ok je comprend ton point de vue sur la sécurité des utilisateurs, mais se que je voulais dire, c’était que les infos que nous pouvons potentiellement laissé sur discord, ne me semble pas assez importante ou privé pour se priver du service, surtout que, aujourd’hui, d’autre on bien plus d’infos, et ne se privent pas de les vendres.<br /> Si la données est déjà public (par choix ou par leak), pourquoi continuer à la cacher ?<br /> La fonction de partage d’écran / jeux est quand même très pratique pour les gamers, je ne pourrais m’en passer aujourd’hui.
Korgen
C’est clair qu’ils ont pas les numéros de CB ^^<br /> Comme je disais, si ton mail est déjà sur la liste de ce qui a été volé à Sony, autant éviter qu’elle se trouve encore sur une autre liste.<br /> Il y a un paquet d’années quand j’étais chez mon ancien FAI j’étais innondé de spam dont le viagra ou les fameux agrandisseurs de… bref, en migrant chez mon FAI actuel j’en ai profité pour changer de mode opératoire et faire un peu plus attention. Résultat des courses, à part les fake « vous avez un colis » (vu que je commande pas mal sur Internet), j’ai plus vraiment de spam.<br /> Discord a quelques bons points, je dis pas (dont le cross-platform). Ca dépend surtout de ce qu’on veut en faire, pour une utilisation exclusivement vocale sur pc j’estime qu’il est dispensable ^^
Voir tous les messages sur le forum

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page

Sur le même sujet

Discord, pas très regardant avec vos données personnelles ? Voilà pourquoi la CNIL sanctionne l'appli Discord, pas très regardant avec vos données personnelles ? Voilà pourquoi la CNIL sanctionne l'appli
La CNIL épingle Ubeeqo, acteur de l'autopartage, pour géolocalisation excessive La CNIL épingle Ubeeqo, acteur de l'autopartage, pour géolocalisation excessive
Pourquoi Free Mobile écope d'une amende de 300 000 euros ordonnée par la CNIL ? Pourquoi Free Mobile écope d'une amende de 300 000 euros ordonnée par la CNIL ?
500 000 personnes victimes d'une fuite de données de santé : la CNIL condamne Dedalus Biologie 500 000 personnes victimes d'une fuite de données de santé : la CNIL condamne Dedalus Biologie
La RATP épinglée par la CNIL pour une histoire de grève et de conservation des données La RATP épinglée par la CNIL pour une histoire de grève et de conservation des données