Par une décision en date du 5 décembre 2024[1] la CNIL a condamné la société KASPR (éditeur de logiciels de prospection pour les PME) à une amende de 240 000 euros, pour avoir méconnu plusieurs dispositions du RGPD[2] en aspirant des données à caractère personnel[3], via le réseau social LinkedIn.
1/ Une extension permettant d’aspirer des données personnelles à des fins de prospection
En l’espèce, la société KASPR développe et commercialise une extension pouvant être installée sur le navigateur Chrome. L’extension KASPR permet à ses utilisateurs d’obtenir les coordonnées professionnelles de personnes présentes sur le réseau social LinkedIn, y compris les coordonnées d’utilisateurs LinkedIn qui avaient pourtant choisi d’en limiter la visibilité.
En réponse à de nombreuses plaintes, la CNIL[4] a effectué un contrôle, afin de vérifier la conformité au RGPD des traitements de données à caractère personnel mis en œuvre par KASPR pour proposer cette extension.
La CNIL relève que la société KASPR traite les données de deux catégories de personnes :
- Les personnes dont les données ont été aspiré à l’aide de l’extension, via LinkedIn
- Les utilisateurs de l’extension KASPR, ceux ayant acheté l’extension
Les données collectées sont les noms, prénoms, numéros de téléphone, URL du profil LinkedIn ou autres réseaux sociaux, employeurs, intitulés de poste, date d’embauche et de fin de poste, lieu de travail, etc.
Il a été constaté qu’environ 160 millions de contacts figurent dans la base de données de KASPR.
La CNIL analyse que KASPR collecte ces données par le biais de trois sources :
- des » fournisseurs » collectant des données à partir de sources publiquement accessibles tel que LinkedIn
- les annuaires des registres de noms de domaines, permettant de rechercher des informations sur un nom de domaine déjà existant et son titulaire ;
- l’import des contacts LinkedIn d’un utilisateur lors de l’activation de l’extension KASPR, car les utilisateurs KASPR synchronisent l’extension avec leur compte LinkedIn.
2/ Que reproche la CNIL à l’extension KASPR ?
- Sur le manquement à la licéité du traitement (article 6 du RGPD)
La société KASPR fonde la licéité de ses traitements de données personnelles sur l’intérêt légitime. Or, lorsque l’argument de l’intérêt légitime est évoqué, la CNIL rappelle que trois conditions doivent être constatées :
- l’intérêt poursuivi doit être légitime
- il est nécessaire de traiter les données à caractère personnel aux fins des intérêts légitimes poursuivis
- le traitement ne doit pas heurter les droits et intérêts des personnes dont les données sont traitées, compte tenu de leurs attentes raisonnables.
En l’espèce, la CNIL considère que la mise à disposition de coordonnées professionnelles de personnes, collectées par la société KASPR, alors qu’elles avaient choisi de ne pas les rendre publiques à tous, excède ce à quoi peuvent raisonnablement s’attendre les personnes qui s’inscrivent sur un réseau social professionnel tel que LinkedIn.
En défense, KASPR considère que, dès lors que les utilisateurs de LinkedIn s’inscrivent sur ce réseau pour bénéficier d’une mise en relation avec d’autres professionnels, il n’est ainsi pas nécessaire de collecter leur consentement.
Il faut noter que, sur le réseau LinkedIn, plusieurs choix s’offrent aux utilisateurs concernant la visibilité de leurs données :
- « uniquement visible par moi » ;
- « relations de 1er niveau » (visible pour leurs contacts) ;
- « relations de 1er et 2e niveaux » (visible pour leurs contacts et les contacts de leurs contacts) ;
- « tout le monde sur LinkedIn ».
La CNIL relève que les personnes ayant choisi de rendre visible leurs coordonnées pour leurs relations de 1er et 2e niveaux ne signifie pas que KASPR ait le droit d’accéder à leurs coordonnées et les collecter.
La formation restreinte[5] considère donc que le droit au respect de la vie privée des concernés prévalaient sur l’intérêt légitime du responsable de traitement. Ainsi, la CNIL réfute l’argument de KASPR selon lequel le consentement ne serait pas nécessaire à la collecte de telles données.
- Sur le manquement à l’obligation de définir et de respecter une durée de conservation des données proportionnée à la finalité du traitement (article 5-1-e du RGPD)
La CNIL rappelle qu’il incombe au responsable de traitement de définir une durée de conservation conforme à la finalité du traitement. La finalité atteinte, les données doivent être supprimées, ou faire l’objet d’un archivage pour une durée déterminée.
Pourtant, KASPR conservait les données de ses clients à des fins de prospection commerciale de manière illimitée, jusqu’à une redéfinition de sa politique en juin 2024.
La CNIL constate que la politique de conservation établie par la société, postérieurement au contrôle, prévoit que les données sont conservées pendant 5 ans à partir de chaque mise à jour des données intervenant lors d’un changement de poste ou d’employeur. Cependant, pour les personnes qui changent de poste ou d’employeur dans un intervalle de moins de 5 ans, ce renouvellement de la durée de conservation conduit à une conservation de leurs données disproportionnée.
La CNIL estime qu’il conviendrait que KASPR ne conserve pas les données de manière indéterminée et illimitée, mais au plus pendant 5 ans.
- Sur le manquement à l’obligation de transparence et d’information des personnes (article 12 et 14 du RGPD)
À l’occasion de cette décision, il est rappelé que le responsable du traitement de telles données est tenu d’une obligation de transparence et d’information envers les personnes dont les données sont collectées, notamment en ce qui concerne les finalités du traitement, les données concernées, etc.
La société n’a commencé à informer les personnes concernées que leurs données personnelles avaient été collectées seulement 4 ans après la commercialisation de l’extension KASPR. De plus, le courrier d’information envoyé était en anglais, ne permettant pas la communication d’une information transparente et compréhensible.
- Sur le manquement à l’obligation de faire droit aux demandes d’exercice du droit d’accès (article 15 du RGPD)
Le RGPD prévoit que la personne concernée par le traitement de ses données à caractère personnel a le droit de demander l’accès auxdites données. L’exercice de ce droit suppose que les informations fournies soient les plus précises possibles[6].
Plusieurs plaignants avaient interrogé la société KASPR sur l’origine des données et ils n’ont reçu aucune réponse précise. La CNIL considère que KASPR aurait dû au moins être en mesure de citer les sources de collecte possibles dans le cadre de ces demandes d’accès.
3/ Une sanction significative de la CNIL à l’encontre de la société KASPR
La CNIL prononce une amende administrative à l’encontre de la société KASPR d’un montant de 240 000 euros pour l’ensemble des manquements au RGPD constatés et détaillés ci-avant.
L’autorité enjoint également à la société de :
- Cesser de collecter les données des personnes ayant choisi de limiter la visibilité de leurs coordonnées
- Cesser le renouvellement automatique de la conservation des données personnelles des personnes cibles
- Informer les personnes dont les données sont collectées dans une langue qu’elles maîtrisent
- Faire suite aux demandes de droit d’accès des personnes en leur donnant toutes les informations dont elle dispose sur les sources de collecte des données
La société KASPR dispose de 6 mois pour se mettre en conformité, soit jusqu’au 18 juin 2025.
Il convient de souligner qu’en rendant publique sa décision, la CNIL insiste sur la gravité des manquements en cause, notamment du fait du nombre important de personnes concernées. Elle relève également que la publicité de cette sanction permettra d’informer les personnes concernées par les traitements mis en œuvre par la société afin qu’elles puissent faire valoir leurs droits.
Cette décision rappelle l’importance pour les entreprises d’assurer une gestion conforme et éthique des données personnelles. Au-delà d’éviter des sanctions pécuniaires, il s’agit de préserver la confiance des utilisateurs.
A noter que pour limiter le démarchage et la collecte de vos coordonnées sur LinkedIn, pensez à ajuster vos paramètres de visibilité.
[1] https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000050791828
[2] Règlement général sur la protection des données 2016/679
[3] https://www.clairmont-novus.law/publications/legal-design/infographie-quest-ce-que-le-web-scraping
[4] Commission nationale de l’informatique et des libertés
[5] Organe de la CIL chargé de prononcer les sanctions
[6] CNIL, FR, 30 novembre 2022, Sanction, n° SAN 2022-022