La Cnil annonce une amende de 240 000 € à l’encontre de la société Kaspr, notamment pour avoir collecté sur LinkedIn les coordonnées d’utilisateurs qui avaient choisi d’en limiter la visibilité. La société Kaspr commercialise une extension payante pour le navigateur Chrome qui permet à ses clients d’obtenir les coordonnées professionnelles de personnes dont ils visitent le profil sur le réseau social LinkedIn.

Linkedin mauvais élève du RGPD, lourdement sanctionné d’une amende de 310 millions d’euros

Une base de données de 160 millions de contacts chez Kaspr

Pour ce faire, la société se constitue une base de coordonnées à partir de Linkedin et d’autres sites web, tels que des annuaires de noms de domaines. Les coordonnées ainsi collectées sont susceptibles de permettre aux clients de contacter les personnes cibles, par exemple pour de la prospection commerciale ou de la vérification d’identité. Environ 160 millions de contacts figurent dans la base de données constituée par Kaspr.

La Cnil déclare avoir reçu plusieurs plaintes de personnes démarchées par des entités ayant eu connaissance de leurs coordonnées grâce à l’extension de Kaspr. La Cnil a effectué un contrôle. Elle considère que Kaspr a manqué à plusieurs obligations du RGPD.

Une base de données illégale chez Kaspr

La Cnil estime que la base de données de Kaspr n’est pas légale (article 6 du RGPD). Sur Linkedin, les utilisateurs ont le choix entre quatre options pour déterminer la visibilité de leurs coordonnées : « uniquement visible par moi » ; « tout le monde sur LinkedIn » ; « relations de 1er niveau » ; ou « relations de 1er et 2e niveaux ».

La Cnil estime que la collecte de coordonnées pour lesquelles les utilisateurs de Linkedin ont limité la visibilité excède ce à quoi pouvaient raisonnablement s’attendre les personnes qui s’inscrivent sur un réseau social professionnel. Le fait d’avoir choisi de rendre leurs coordonnées visibles par leurs relations de 1er et de 2e niveaux, autrement dit par leurs contacts sur le réseau social et les contacts de leurs contacts, ne revient pas à autoriser Kaspr à accéder à leurs coordonnées et à les collecter. La Cnil considère que dans ce cas de figure, les coordonnées ont été collectées illicitement.

Une durée de conservation des données disproportionnée

D’autre part, Kaspr a manqué à son obligation de définir et de respecter une durée de conservation des données proportionnée à la finalité du traitement (article 5-1-e du RGPD). Kaspr a toutefois collecté des données de façon licite, c’est-à-dire celles des personnes qui ont choisi de laisser visibles leurs coordonnées sur LinkedIn. La Cnil a relevé que la société conservait les coordonnées des utilisateurs pendant 5 ans à partir de chaque mise à jour des données, qui intervient généralement lorsqu’une personne change de poste ou d’employeur.

Or, pour les personnes qui changent de poste ou d’employeur avant 5 ans, la Cnil estime que ce renouvellement de la durée de conservation conduit à une conservation de leurs données pour une durée disproportionnée. Kaspr a aussi manqué à l’obligation de transparence et d’information des personnes (articles 12 et 14 du RGPD). Kaspr n’a commencé à informer les personnes concernées que leurs données personnelles avaient été collectées qu’en 2022. C’est 4 ans après la mise en œuvre de l’extension Kaspr. L’information se fait par un courriel en anglais, renvoyant vers un lien permettant de s’opposer au traitement. Adresser un email rédigé en anglais ne permet pas une information transparente et compréhensible selon la Cnil.

Manque d’information aux personnes dont les coordonnées sont collectées

De plus, la Cnil reproche à Kaspr l’absence d’information des personnes sur la collecte de leurs données jusqu’en 2022. Kaspr a fait défaut aux demandes d’exercice du droit d’accès (article 15 du RGPD). Lorsque des personnes ayant fait l’objet de démarchage interrogeaient la société Kaspr sur la manière dont leurs coordonnées avaient été obtenues, Kaspr répondait seulement que leurs coordonnées avaient été collectées à partir de sources publiquement accessibles.

La Cnil souligne que Kaspr doit pouvoir indiquer « toute information disponible quant à la source » des données. La Cnil estime que même si Kaspr est dans l’incapacité technique de préciser la source des données collectées pour chaque personne concernée, elle a cependant connaissance d’une partie des sources qui alimentent sa base. Par ailleurs, ces sources étaient répertoriées dans sa politique de confidentialité.

Cesser de collecter les coordonnées des personnes qui en limitent l’accès

Au final, la société Kaspr doit cesser de collecter les données des personnes ayant choisi de limiter la visibilité de leurs coordonnées, et doit supprimer les données qu’elle a collectées de cette manière. À défaut, en cas d’impossibilité de distinguer les données dont la visibilité a été limitée, la société devra – dans un délai de 3 mois – informer les personnes concernées du traitement de leurs données et de la possibilité de s’y s’opposer, et de n’utiliser leurs données que dans ce but.

Kaspr doit cesser le renouvellement automatique de la conservation des données personnelles des personnes cibles. Kapsr doit informer les personnes dont les données sont collectées dans une langue qu’elles maîtrisent et elle doit faire suite aux demandes de droit d’accès des personnes en leur donnant toutes les informations dont elle dispose sur les sources de collecte des données. Kaspr a six mois pour se mettre en conformité jusqu’au le 18 juin 2025.

Facebook X LinkedIn