Newsletter - ADEXPA ADWELSEN

La Commission Nationale de l’Informatique et des Libertés (CNIL) a récemment sanctionné d'une amende de 240 000 euros une société pour avoir « aspiré » puis utilisé les données d'utilisateurs du réseau social LinkedIn, y compris celles de ceux qui avaient choisi de ne pas les rendre visibles.

Une base de données issue de coordonnées LinkedIn

160 millions de contacts - La société KASPR a mis à la disposition de ses clients, via une extension payante du navigateur Chrome, les coordonnées d'environ 160 millions de contacts. L'utilisation de ces informations avait pour vocation, entre autres, la prospection commerciale.

Informations issues de LinkedIn - Ces données étaient collectées par la société KASPR notamment sur le réseau social professionnel LinkedIn. Les utilisateurs de l'extension pouvaient accéder directement aux informations de contact des personnes dont ils visitaient le profil sur le réseau social.

La CNIL a reçu plusieurs plaintes contre la société KASPR, notamment d'entités ayant fait l'objet de démarchages et dont les coordonnées avaient été récupérées via l'extension proposée.

Des manquements à plusieurs obligations du RGPD

L'absence de base légale dans la collecte des données - Pour la CNIL, la collecte des données des utilisateurs LinkedIn par la société KASPR s'effectuait de manière illicite. En effet, même les utilisateurs du réseau ayant restreint la visibilité de leurs coordonnées à leur seul cercle proche (relation de 1^er et 2^ème niveau, donc leurs contacts et les contacts de leurs contacts) pouvaient voir leurs données aspirées par la société KASPR. Une telle collecte est donc illicite et contraire à l'article 6 du RGPD.

L'absence de durée de conservation proportionnée - La CNIL a également constaté que les données collectées de manière licite (auprès de personnes n'ayant pas restreint la visibilité de leur profil sur LinkedIn) étaient conservées 5 ans à compter de leur mise à jour. Cette mise à jour intervenait par le changement de poste ou d'employeur. Or la durée de 5 années apparait comme disproportionnée, notamment dans le cas d'un changement d'employeur, et contrevient dès lors à l'article 5-1-e du RGPD.

L'absence d'information et de transparence - La Commission a de plus relevé que les personnes dont les données avaient été aspirées n'en avaient été informées qu'à compter de 2022, alors que l'extension était utilisable dès 2018. De plus, l'information se faisant via un courrier en anglais, ce qui ne la rendait pas totalement transparente ni compréhensible. Dès lors, il a été considéré que KASPR avait manqué aux obligations de transparence et d'information des personnes, obligations issues des articles 12 et 14 du RGPD.

L'absence de respect du droit d'accès - La CNIL a enfin constaté que les personnes demandant à la société KASPR la source de leur accès à leurs coordonnées, se voyaient répondre que "les coordonnées avaient été collectées à partir de sources publiquement accessibles". Or, pour la CNIL, cette réponse n'est pas suffisante, la société KASPR devant préciser une partie des sources (si ce n'était pas la source précise). Une telle réponse méconnait donc le droit d'accès à la source de la collecte de données prévu à l'article 15 du RGPD.

Une amende de 240 000 euros et une publicité de la décision de la CNIL

Outre l'amende conséquente infligée, la CNIL a fait obligation à la société KASPR de cesser les agissements illicites relevés et de procéder à l'information des personnes dont les données ont été collectées, et ce, dans une langue qu'elles maîtrisent, tout en permettant à celles qui le souhaitent d'avoir les informations sur la source de collecte des données.

Ces injonctions ont été assorties d'un délai de mise en conformité de 6 mois et d'une publicité de la décision, soulignant la gravité des manquements en cause.

CNIL, délibération du 5 décembre 2024, n° SAN-2024-020, JO du 19 décembre