03 66 72 26 33

Intention de sanction de l’autorité de protection des données norvégienne contre la société DISQUS (02/05/2021)

Le 2 mai 2021, l’autorité de protection des données norvégienne (Datatilsynet) a notifié à la société américaine DISQUS son intention de lui infliger une amende administrative d’un montant de 2,5 millions d’euros en raison de divers manquements aux dispositions du RGPD.

La société DISQUS, détenue par ZETA GLOBAL, fournit des services de partage de commentaires publics en ligne et de publicité programmatique.

Cette décision a pour origine de nombreux articles de la Norwegian National Broadcaster (NRK), media alertant sur le suivi illicite des visiteurs des sites norvégiens utilisant le plug-in fourni par DISQUS, dont les données étaient transmises à des partenaires publicitaires tiers.

Les articles de la NRK évoquent par ailleurs le fait que les manquements constatés auraient eu lieu car DISQUS ne savait pas que le RGPD s’appliquait en Norvège, ce qui a été confirmé par la société mère ZETA GLOBAL.

Les différents manquements portent notamment sur un défaut de base légale afin de procéder aux traitements des données des visiteurs, un manque d’information et de transparence à l’égard de ceux-ci et un manquement à l’accountability (principe de responsabilité), ce dernier étant en grande partie dû au fait que DISQUS ne considérait pas être concerné par le RGPD pour ses activités en Norvège.

Dans les faits, DISQUS procédait au suivi des articles de presse et sites que les internautes visitaient, sans en informer ces derniers.

L’autorité norvégienne considère donc que les manquements constatés sont particulièrement graves, notamment car le suivi dissimulé et le profiling sont très invasifs, et empêchent de surcroît les personnes concernées d’exercer leurs droits.

De plus, elle a retenu comme circonstance aggravante le fait que la publicité programmatique entraîne un risque élevé pour les personnes concernées de perdre le contrôle sur les entités procédant au traitement de leurs données personnelles.

Dès lors, l’autorité norvégienne considère qu’une amende administrative dissuasive, proportionnée et effective doit être envisagée à l’égard de DISQUS.

Les violations constatées portent sur des obligations fondamentales du RGPD et sont aggravées par le fait qu’il s’agit de pratiques particulièrement invasives susceptibles d’avoir touché des centaines de milliers de personnes, et susceptibles de révéler des informations à propos de mineurs ou à propos des opinions politiques, alors même que les opérations de traitement ne faisaient l’objet d’aucune transparence.

C’est au regard de la gravité de ces manquements que l’autorité norvégienne a estimé que le montant de l’amende administrative pouvait s’élever à 2,5 millions d’euros.

Pour justifier cette somme, l’autorité se fonde d’une part, sur une interview du CEO de la société Dan Ha datant de 2018, dans laquelle il était indiqué que le chiffre d’affaires global de DISQUS était de 20 millions de dollars ; et d’autre part, sur les informations disponibles sur le site internet de la société, lui permettant de considérer que ce chiffre d’affaires a augmenté depuis 2018.

La somme retenue par l’autorité norvégienne représenterait ainsi 15 % du chiffre d’affaires global estimé pour l’année 2018.

A ce stade, cette intention de sanction constitue une ébauche de décision. La société DISQUS avait ainsi jusqu’au 31 mai 2021 pour soumettre ses observations, en fonction desquelles l’autorité de protection des données norvégienne devrait prochainement établir sa décision définitive.

DATATILSYNET - Notification d’intention de sanction du 2 mai 2021 – DISQUS INC. (en langue anglaise)

Raphaël EKWALLA-MATHIEU
Avocat Collaborateur

Raphaël RAULT
Avocat Associé