Het populaire chatplatform Discord heeft van de Franse privacytoezichthouder CNIL een boete van 800.000 euro gekregen voor het overtreden van de Europese privacywetgeving GDPR. Zo werden wachtwoorden van zes karakters toegestaan en gebruikersgegevens langer dan noodzakelijk bewaard. Discord biedt een platform dat gebruikers via chat, microfoon en webcam met elkaar laat communiceren. Volgens CNIL heeft het chatplatform verschillende artikelen van de GDPR overtreden.

Zo bleek dat het bedrijf geen geschreven dataretentiebeleid had, waarin wordt gesteld hoelang gebruikersgegevens bewaard blijven. Discord bleek meer dan 2,4 miljoen Franse gebruikersaccounts in de eigen database te hebben staan die al meer dan drie jaar niet waren gebruikt. 58.000 accounts waren al meer dan vijf jaar inactief. De GDPR stelt dat gegevens niet langer dan noodzakelijk mogen worden bewaard dan het doel waarvoor ze nodig waren. Discord liet gebruikers ook niet weten hoelang gegevens bewaard bleven.

Verder was er volgens CNIL geen sprake van databescherming 'by default'. Wanneer gebruikers de applicatie via de X-knop sloten bleef de applicatie in de achtergrond actief en konden gebruikers zo door andere gebruikers in de chatroom worden afgeluisterd. Daarnaast bleek Discord wachtwoorden van slechts zes karakters te accepteren. De Franse privacytoezichthouder oordeelt dat het wachtwoordbeleid niet voldoende sterk was om de persoonlijke data van gebruikers te beschermen.

Als laatste had Discord geen data protection impact assessment (DPIA) uitgevoerd om privacyrisico's bij de verwerking van persoonsgegevens in kaart te brengen. Iets dat volgens CNIL wel had gemoeten. De Franse privacytoezichthouder kwam tot een boete van 800.000 euro, mede vanwege het aantal getroffen gebruikers, maar ook op basis van de medewerking van Discord om aan de GDPR te voldoen en dat het businessmodel van het platform niet op de exploitatie van persoonlijke data is gebaseerd.