Mauvaise nouvelle pour le célèbre plug-in de commentaires Disqus. Cette dernière vient de se voir infligé une amende de 3M$ en Norvège. En cause ? le non-respect du consentement des utilisateurs vis à vis de leurs données. Cette amende a été délivrée par l’équivalent de notre CNIL Norvégienne.
Des paramètres par défaut sulfureux
Lorsqu’un utilisateur lambda veut commenter en utilisant le système Disqus, il accepte en général les réglages par défaut proposées par l’extension. C’est justement là où le bas blesse, car le réglage de ceux-ci favoriserait de manière outrancière le partage de données des utilisateurs, sans vraiment les protéger donc.
Pourtant, Disqus avait pris ses dispositions pour le marché Européen, avec le RGPD. Dans le passé, des acteurs majeurs comme Facebook se sont vus sanctionnés par l’organisme. Aucun problème de coté là pour la paramétrage par défaut de l’opt-in, sur le plug-in applicatif.
Mais, Disqus a mal fait de relâcher son attention pour la Norvège. En effet, même si elle n’est pas membre de l’Union Européenne, elle fait partie de l’Espace Économique Européen. C’est tout naturellement donc qu’elle a adopté le RGPD, en juillet 2018, et le suivi est donc très sérieux à ce niveau là pour les entreprises qui opèrent en Norvège.
7 sites web concernés
la DPA Norvégienne précise que 7 sites web Norvégiens de forte notoriété et utilisant Disqus sont concernés: NRK.no/ytring, P3.no, tv.2.no/broom, khrono.no , adressa.no, rights.no et document.no.
«Disqus a fait valoir que leurs pratiques pourraient être fondées sur le test de pondération des intérêts légitimes comme base légale, bien que l’entreprise ne sache pas que le RGPD s’appliquait aux personnes concernées en Norvège. «Sur la base de notre enquête jusqu’à présent, nous pensons que Disqus ne pouvait pas se fonder sur l’intérêt légitime comme base légale pour le suivi de sites Web, services ou appareils, le profilage et la divulgation de données personnelles à des fins de marketing, et que ce type de suivi nécessiterait un consentement. Notre conclusion préliminaire est que Disqus a traité des données personnelles de manière illégale. Cependant, notre enquête a également révélé de graves problèmes de transparence et de responsabilité »
Bjørn Erik Thon – directeur général de la DPA
On se souvient d’un cas similaire avec les applications aussi, comme par exemple l’application de rencontre Grindr, qui s’était vue pénalisée. Mais, dans le cas de Disqus, la DPA affirme que plusieurs centaines de milliers d’utilisateurs auraient été impactés, sans que leur consentement soit donné. Cette dernière s’est donné jusqu’au 31 mai comme date butoir pour annoncer sa sanction définitive vis à vis de la société, mais le montant mentionné semble déjà établi fermement à l’avance.
Tous les pays sont concernés par ce type de violation à l’heure actuelle, et le suivi et les sanctions qui en découlent sont de plus en plus importantes pour les entreprises qui ne respectent pas la loi.
Dans l’hexagone par exemple, la start-up Nestor a été épinglée par la CNIL en début d’année 2021. Mais, d’une manière générale, c’est le domaine de “l’adtech” qui est principalement sous surveillance, car ces données constituent une véritable mine d’or pour eux.
Yvan Dupuy