grose amende pour non respect RGPD

On ne plaisante pas avec les RGPD 800 000 € d'amende pour Discord

Le célèbre service de VoIP vient de se vois infliger une belle amende de 800 000€ pour non respect des règles RGPD.

La CNIL (Commission Nationale de l'Informatique et Liberté) a annoncé jeudi 17 Novembre avoir émis une amende de 800 000 € à Discord. L'institution précis que l'entreprise américaine s'est rendue coupable de plusieurs manquements à des obligations préconisées par le fameux RGPD (Règlement Général des Protection des Données). La CNIL déclare que l'amende a été déterminée “au regard des manquements retenus, du nombre de personnes concernées, mais aussi en tenant compte des efforts réalisés par la société pour se mettre en conformité tout au long de la procédure”.

Des comptes inactifs conservés dans le temps.

Durant son enquête , la CNIL a entre autres constaté que le service ne supprimait pas les comptes des utilisateurs inactifs et ne déclarait pas de politique claire concernant la conservation et le stockage des données utilisateurs. En l'occurrence, ce sont prés de 2 474 000 utilisateurs français restés inactifs pendant plus de 3 ans toujours stockés dans la base de données de Discord. La CNIL reproche également au service américain de ne pas fournir d'informations exactes ou précises sur la durée de conservation des données personnelles (à l'encontre de l'article 13 du RGPD). A noter toutefois que Discord s'est mis en conformité lors de l'enquête en précisant que les données comptes personnels seraient dorénavant supprimés automatiquement au bout de 2 ans d'inactivité.

Une appli qui ne se déconnecte pas du salon vocal sur fermeture.

L'autre point en défaveur de Discord est que les enquêteurs de la CNIL se sont rendus compte que l'utilisateur du salon vocal Discord ne se désactivait pas nécessairement suite à la fermeture de l'appli. “Le comportement de Discord est différent et peut conduire à ce que des utilisateurs soient entendus par les autres membres présents dans le salon vocal alors qu'ils pensaient l'avoir quitté”, écrit la CNIL. Depuis l'enquête, les ingénieurs de Discord ont mis en place un système de modification de configuration ainsi que l'ouverture d'une pop up qui prévient que l'appli est succeptible de fonctionner en arrière plan.

Des mots de passe trop faibles

Dernier point de discorde : Des mots de passe dont le niveau de sécurité est trop faible. En effet, la CNIL estime que la “politique de gestion de mots de passe de Discord n'était pas suffisamment robuste et contraignante pour garantir la sécurité des comptes des utilisateurs. Seuls 6 charactère suffisent lors de la création d'un compte Discord. La préconnisation de la CNIL va au minimum vers 8 charactèresavec trois catégories de charactères différents (majuscule, miniscule, chiffres et charactères spéciaux.

Le manquement à la réalisation d'une analyse d'impact.

Dans la mesure où Discord traitre une énorme masse de données, la CNIL a considéré que le manquement à l'obligation de réaliser une analyse d'impact relative à la protection des données comme le stipule l'article 35 du RGPD comme suffisamment grave. Pour montrer pate blanche, la société Discord a réalisé l'analyse à l'issue de l'enquête. Les conclusions de cette derniere étant que le traitement des données de Discord “n'est pas susceptible d'engendrer un risque élevé pour les droits et les libertés des personnes”. 

 

Article librement inspiré de "La CNIL inflige à Discord une amende de 800 000 € pour non-respect du RGPD"