Après avoir constaté plusieurs manquements au RGPD, la CNIL a prononcé une amende de 800 000 euros à l’encontre de la société DISCORD INC., créatrice du logiciel du même nom.
DISCORD[1] est un service de voix sur IP (technologie qui permet aux utilisateurs de discuter via leur microphone et/ou leur webcam via Internet) et de messagerie instantanée, dans laquelle les utilisateurs peuvent créer des serveurs, des salons textuels, vocaux et vidéos. La CNIL, après plusieurs contrôles, a alors pu constater de multiples manquements relatifs au Règlement général sur la protection des données (RGPD), notamment :
- Le manque de politique écrite de conservation des données, ainsi que de moyens de déterminer la conservation des données, alors que plus de deux millions de comptes français étaient inactifs depuis au moins trois ans.
- Le manque de notification pour des comportements inhabituels du service : le fait sur Windows d’appuyer sur l’icône « X » en haut à droite du logiciel ne ferme pas ce dernier : il est en réalité mis en arrière-plan, et l’utilisateur reste connecté dans le salon vocal s’il y était connecté en premier lieu. L’utilisateur pouvait alors être entendu par les autres personnes présentes dans le salon vocal alors qu’il pensait l’avoir quitté.
- Des prérequis jugés insuffisants pour les mots de passe lors de la création d’un compte.
- Le refus de conduire des analyses d’impact, alors que la société revendique plus de 150 millions d’utilisateurs uniques par mois[2], dont une part non-négligeable de mineurs.
Depuis les contrôles de la CNIL, DISCORD INC. s’est mise en conformité avec la règlementation européenne sur plusieurs points. L’entreprise américaine a néanmoins été sanctionnée d’une amende de 800 000 euros.
Pour en savoir plus :
Sanction de 800 000 euros à l’encontre de la société DISCORD INC., CNIL, 17 novembre 2022
