Disqus issued fine against breaking GDPR consent rules for 2.5 million euros

Le populaire système de commentaires web Disqus, une entreprise américaine détenue par Zeta Global, est récemment sous le feu des projecteurs de l'autorité norvégienne de protection des données pour avoir enfreint les règles et ne pas être conforme au RGPD (Règlement Général sur la Protection des Données) et pour utiliser des identifiants de suivi web pour les visiteurs du site sans le consentement de l'utilisateur.

Disqus condamné à une amende pour violation des règles du RGPD et suivi web de 2,5 millions d'euros

Le 2 mai 2021, l'autorité norvégienne de protection des données (Datatilsynet) a informé Disqus de son intention d'infliger une amende d'environ 2,5 millions d'euros pour non-conformité au RGPD. Cette amende comprenait des exigences de responsabilité, de légalité et de transparence liées au RGPD.

Disqus est un système de commentaires permettant aux propriétaires de sites web de rendre une section de commentaires entièrement gérée sur leur site, comme sous un article ou sous une documentation, par exemple. Il s'agit d'une plateforme publique de partage de commentaires pour les éditeurs en ligne avec des outils de modération. Disqus fournit le système de commentaires qui se charge sur les sites web installés, et ils ont été condamnés pour le suivi des visiteurs sans consentement approprié, réalisé grâce à l'utilisation de cookies et d'identifiants de suivi.

Comme le système de commentaires Disqus est installé via une extension, il est facile à configurer, et Disqus collectait des cookies de suivi, des données personnelles et transmettait ces données entre les domaines et aux partenaires publicitaires tiers sans le consentement approprié des utilisateurs, ce qui est strictement requis par le RGPD.

Les données collectées étaient également transmises à sa société mère, Zeta Group. Les utilisateurs doivent donner leur autorisation pour cette transaction de données. Les données personnelles collectées allaient des adresses IP des utilisateurs aux données du navigateur et aux identifiants de cookies. La société a d'abord été mise en cause par la Norwegian Broadcasting Corporation, qui a publié des articles de presse décrivant les activités de Disqus. Les données collectées ne sont pas illégales, mais elles doivent obtenir une autorisation explicite de l'utilisateur au préalable.

À la suite de l'enquête menée par la DPA norvégienne, ils ont conclu que la société américaine Disqus avait traité des données personnelles d'utilisateurs via des outils de suivi web, analysant et profilant les données collectées, et transférant les données des utilisateurs à des partenaires publicitaires tiers sans aucun consentement de l'utilisateur. Tout cela relève du RGPD, et il n'y avait aucune base légale pour la manière dont les données des utilisateurs étaient traitées. Disqus avait également omis de fournir toute notification de son traitement des données aux utilisateurs, ce qui est une exigence du RGPD.

Après avoir contacté la société mère de Disqus, ils ont confirmé que la version du système de commentaires conforme au RGPD n'était pas utilisée en Norvège, car Zeta Global ne considérait pas la Norvège comme relevant du RGPD, étant donné qu'elle n'est pas membre de l'UE. Ils ne pensaient donc pas que les lois s'appliqueraient - d'où la confusion récente sur la portée réelle du RGPD et sur la méconnaissance qu'une entreprise peut avoir, risquant une amende d'environ 2,5 millions d'euros.

En vertu de la loi sur le RGPD, une entreprise est responsable de s'assurer qu'elle collecte des données en respectant la vie privée des utilisateurs et les réglementations en matière de protection de la vie privée. Même si elles n'ont pas de présence physique en Europe, les données collectées dans les juridictions du RGPD doivent respecter les exigences et la loi du RGPD.

Disqus a déclaré que parce qu'ils n'avaient "aucune activité commerciale en Norvège et qu'ils ignoraient avoir collecté des données concernant des individus norvégiens". Cependant, la DPA norvégienne a conclu que Disqus remplissait les critères de la loi sur le RGPD, car Disqus proposait le système de commentaires via un domaine de code de pays norvégien et qu'ils diffusaient des cookies qui pouvaient être utilisés pour suivre les utilisateurs entre les domaines sans autorisation. Disqus a argué que les identifiants de cookies ne sont pas des informations personnelles, mais selon le RGPD, ils le sont, car les identifiants de cookies peuvent être utilisés pour suivre les individus sur des sites web et des domaines, enregistrant chacun de leurs mouvements ou actions sur un site web. Ainsi, cela est considéré comme des données personnelles pour cet utilisateur. Le RGPD confirme explicitement que les identifiants en ligne constituent des données personnelles.

Disqus a affirmé qu'ils n'étaient pas au courant de l'usage abusif des données des utilisateurs, mais en tant qu'entreprise traitant lesdites données, ils sont responsables de s'assurer qu'ils traitent les données conformément aux lois applicables en matière de confidentialité, comme le RGPD. Le régulateur a conclu que Disqus était en faute et qu'ils n'avaient pas démontré la légalité de leurs actions. Ils avaient omis de prendre des mesures et de montrer leur responsabilité pour se conformer au RGPD. Disqus a enfreint le principe de responsabilité et a violé la vie privée de milliers d'utilisateurs.

Comme Disqus n'a pas non plus fourni aux utilisateurs une déclaration de traitement des données, la plupart des utilisateurs touchés par cet abus de données ne savaient pas qu'ils étaient suivis et profilés. Les utilisateurs étaient donc incapables d'évaluer s'ils souhaitaient être soumis au suivi et au profilage par Disqus.

En ce qui concerne d'éventuelles actions légales supplémentaires entreprises par l'APD norvégienne, elle a confirmé que Disqus aurait dû au moins informer les utilisateurs sur la manière dont leurs données étaient traitées. Disqus a été jugé sans fondement légal pour la collecte et le suivi des données sur leur système de commentaires.

Le régulateur du RGPD a déterminé que, en raison des actions de Disqus, une grande partie des données collectées a probablement affecté les droits de milliers d'utilisateurs liés à la liberté d'expression et à la liberté d'information. Et parce que les données ont été collectées sans consentement valide, elles sont considérées comme une violation systémique. Il a également été confirmé par Datatilsynet que Disqus a supprimé les données pertinentes de leurs systèmes, mais les dommages étaient déjà faits car les données avaient déjà été intégrées aux outils de surveillance et d'analyse qu'ils utilisaient, devenant ainsi partie intégrante de l'écosystème de la publicité comportementale en ligne.

Le régulateur a jugé que les données collectées étaient très privées et sensibles, car le traitement de l'activité de lecture en ligne pouvait, grâce au suivi et à l'analyse au fil du temps, révéler beaucoup sur l'individu, tels que ses opinions politiques. On peut voir à quel point il est facile de perdre le contrôle sur le consentement des utilisateurs et de porter atteinte à la vie privée. Il est important de prendre en compte toutes les données collectées par les entreprises et de vérifier si elles enfreignent des lois et/ou des réglementations.

Actuellement, Disqus a jusqu'au 31 mai 2021 pour répondre avant toute décision finale concernant d'éventuelles actions légales supplémentaires, et la DPA norvégienne confirmera ses décisions après avoir évalué toute réponse de Disqus.

Que faire en tant qu'éditeur ayant installé Disqus?

Les éditeurs ayant déjà installé le système de commentaires Disqus peuvent gérer le consentement des utilisateurs avec un gestionnaire de consentement tel que UniConsent CMP pour se conformer au RGPD. Chargez uniquement la balise Disqus et envoyez des données à Disqus une fois qu'un utilisateur a donné son consentement.

À propos de UniConsent

UniConsent fait partie de la plateforme d'expérience utilisateur respectueuse de la vie privée de Transfon, qui sert des dizaines de millions d'utilisateurs par jour pour offrir une expérience de confidentialité transparente aussi bien pour les utilisateurs que pour les éditeurs à l'ère de l'après RGPD. Contactez-nous pour en savoir plus : hello@uniconsent.com