Datatilsynet, l’équivalent de la CNIL en Norvège, menace Disqus, une entreprise qui propose un plug-in de commentaires sur des sites, d’une amende de 2,5 millions d’euros dans un communiqué le 5 mai. La société est accusée de ne pas avoir respecté le RGPD.

Les données de centaines de milliers de personnes diffusées sans leur consentement

L’enquête de Datatilsynet contre Disqus a été lancée après la publication de plusieurs articles de la société de radiodiffusion nationale (NRK) en 2019. Le média de service public avait révélé que Disqus, via son plug-in, suivait ses utilisateurs pour revendre des données considérées comme très sensibles à des tiers pratiquant la publicité ciblée. Parmi ces données, des renseignements sur des mineurs ou sur les opinions politiques. Une pratique interdite en vertu du RGPD.

Les services de Disqus sont prisés par les médias locaux, des centaines de milliers de personnes auraient vu leurs données personnelles revendues à des tiers sans leur consentement. Sept sites sont particulièrement concernés, dont celui de la NRK qui a révélé l’affaire.

Pour le directeur général de Datatilsynet, Bjørn Erik Thon, « Disqus ne pouvait pas invoquer l'intérêt légitime comme base juridique pour le suivi sur des sites Web, des services ou des appareils, le profilage et la divulgation de données personnelles à des fins de marketing, et que ce type de suivi nécessiterait un consentement ».

Datatilsynet en a profité pour lancer un avertissement aux éditeurs locaux qui ont fait confiance à Disqus les estimant « également responsables […] des tiers qu’ils autorisent sur leurs sites web ».

Disqus a expliqué ignorer que la Norvège appliquait le RGPD

La ligne de défense de Disqus, confirmé par sa société mère Zeta Global, est l’ignorance. L’entreprise affirme qu’elle ignorait que la Norvège appliquait le RGPD. Des éléments semblent aller dans le sens de cette thèse : dans les autres pays européens où elle est implantée, elle recueille effectivement le consentement de ses utilisateurs avant de fournir leurs données à un publicitaire tiers. Le fait que la Norvège ne soit pas membre de l’Union européenne pourrait aller dans le sens de la simple inadvertance.

L’argument reste néanmoins difficile à entendre. La Norvège est membre de l’Espace économique européen, qui comprend l’UE, plus l’Islande, le Liechtenstein où le RGPD a été transposé en juillet 2018. Le règlement a été transposé dans le droit local la même année. Pour Bjørn Erik Thon c’est une circonstance aggravante, « Disqus a enfreint le principe de responsabilité en considérant à tort que le GDPR ne s'appliquait pas aux personnes concernées en Norvège ».

Disqus a la possibilité d’émettre ses commentaires sur l’enquête d’ici au 31 mai. Si l’amende administrative est confirmée, l’entreprise devra régler 2,5 millions d’euros. Dans toute l’Union européenne, les amendes liées aux non-respects du RGPD, se sont élevées à 171 millions d’euros en 2020.