• Home
  • CNIL
  • Discord sanctionné par la CNIL pour violation du RGPD

Discord sanctionné par la CNIL pour violation du RGPD

Partager sur facebook
Partager sur twitter
Partager sur linkedin
Partager sur email

Discord a été condamné à une amende de 800 000 euros par le régulateur français ( la CNIL) pour un ensemble de violations du RGPD, notamment l’absence de mots de passe suffisamment forts et l’absence de protection des données par défaut pendant les chats vocaux.

Selon la Commission nationale de l’informatique et des libertés (CNIL), Discord a violé la règle de confidentialité communautaire de plusieurs manières, notamment en ne déconnectant pas un chat vocal lorsqu’un utilisateur clique sur l’icône « X » en haut à droite d’une fenêtre.

Comme le note la CNIL, le fait de cliquer sur le « X » dans la plupart des applications Windows met fin au programme, mais dans le cas de Discord, l’application a simplement été mise en arrière-plan, ce qui pourrait mener un interlocuteur à communiquer sans le savoir avec toutes les autres personnes connectées au chat vocal alors qu’il pensait avoir interrompu celui ci.

Selon les autorités françaises, Discord avertit désormais les utilisateurs par le biais d’une fenêtre pop-up que Discord est toujours en cours d’exécution et que les utilisateurs peuvent modifier les paramètres pour fermer l’application plutôt que de la réduire en cliquant sur l’icône « X ».

L’enquête a également reproché à Discord de permettre aux utilisateurs d’utiliser des mots de passe faibles de seulement six caractères alphanumériques. Le service exige désormais que les utilisateurs disposent d’un mot de passe de huit caractères comprenant les quatre types de caractères et propose un défi CAPTCHA après dix tentatives de connexion infructueuses.

La société s’est également engagée à supprimer les comptes après deux ans d’inactivité pour se conformer aux politiques de conservation des données du GDPR.

La CNIL indique que le montant de l’amende tient compte des efforts déployés par Discord pour résoudre les préoccupations « et du fait que son modèle économique n’est pas fondé sur l’exploitation de données personnelles. »

Plus tôt cette année, l’autorité française de protection des données a condamné Facebook à une amende de 60 millions d’euros pour ne pas avoir permis aux utilisateurs de refuser les cookies de suivi. Le modèle économique de Facebook repose sur la collecte et l’analyse des données des utilisateurs afin de proposer aux annonceurs une audience ciblée.

Dans un courriel, un porte-parole de Discord a déclaré à Information Security Media Group que le rapport de la CNIL « est basé sur les caractéristiques du produit et les pratiques de 2020 qui ont depuis été mises à jour. » La société apprécie « l’opportunité de s’engager avec la CNIL car la protection de la vie privée des utilisateurs est très importante pour nous », a également déclaré le porte-parole.

Bien que l’entreprise ait généralement une bonne réputation en matière de sécurité interne, elle s’est attiré de nombreuses critiques ces derniers temps pour ne pas avoir fait suffisamment d’efforts pour limiter les attaques contre ses utilisateurs via la plateforme. 

Certains se sont plaints que la façon dont l’entreprise gère les connexions 2FA permet à un attaquant de compromettre trop facilement une personne en lui envoyant un lien malveillant, et que le processus de récupération du compte est long et difficile une fois compromis. 

Ainsi, cette amende pourrait-elle être le signe d’une reprise en main du sujet privacy au sein de Discord? 

Évaluez votre niveau
de conformité

En quelques clics,
lancez sans engagement
et en toute conformité un
audit flash !

Pour recevoir votre audit flash gratuit et sans engagement, merci de bien vouloir remplir ce formulaire :