Discord se voit infliger une amende de 800 000 euros par la CNIL pour manquement au RGPD. En cause, la plateforme ne supprimait par les comptes de ses utilisateurs inactifs et ne disposait pas d’une politique claire sur la conservation des données utilisateur.

La Commission nationale de l’informatique et des libertés, ou CNIL, vient d’infliger une amende de 800 000 euros à Discord, plateforme de communication particulièrement utilisée dans le monde des jeux vidéo. La CNIL explique cette amende par : « des manquements à plusieurs obligations du RGPD, notamment en matière de durées de conservation et de sécurité des données personnelles ».

La CNIL retient deux manquements. Le premier est l’absence d’une politique claire sur la conservation des données de ses utilisateurs. Le second est la non-suppression des comptes inactifs. Suite à son enquête, la CNIL a ainsi relevé pas moins de 2 474 000 comptes d’utilisateurs français inactifs depuis plus de trois ans dont quelque 58 000 inactifs depuis plus de cinq ans. La commission reconnaît toutefois que depuis le début de l’enquête, Discord a effectué des efforts afin d’entrer en conformité. La somme de 800 000 euros a été fixée en tenant compte de ces efforts, du nombre de personnes concernées et du fait que le modèle économique de l’entreprise ne repose pas sur l’exploitation des données personnelles. En effet, Discord ne tirant aucun revenu de ces données, il est bien plus simple d’attribuer ces manquements à une simple négligence que s’il s’agissait d’une entreprise comme Meta ou Twitter.

Pour l’heure l’entreprise ne dispose pas de siège européen, cette amende est donc directement envoyée au siège américain de l’entreprise. Cette dernière a cependant récemment ouvert un bureau à Amsterdam et pourrait potentiellement en faire son siège européen. Dans ce cas, tout futur manquement au RGPD devra être traité par l’équivalent hollandais de la CNIL.

Cette affaire démontre une fois de plus à quel point les régulateurs européens n’hésitent pas à s’attaquer aux principaux acteurs de la tech afin de faire respecter le RGPD. Si pendant un temps ces sanctions étaient rares, afin de laisser le temps aux différentes entreprises d’entrer en conformité, elles sont désormais de plus en plus fréquentes avec des montants de plus en plus élevés. Dans le même temps, il arrive encore à la Commission européenne elle-même de réaliser des manquements au RGPD. Il faudra donc probablement encore un certain temps avant que tous les acteurs soient parfaitement en règle.