La Commission irlandaise de protection des données (DPC) inflige une amende de 310 millions d’euros à LinkedIn Ireland, le réseau social des professionnels, propriété du géant des logiciels Microsoft. La DPC a agi à la suite à une plainte déposée initialement par la Quadrature du Net auprès de la Cnil, l’Autorité française de protection des données.
Usage des données personnelles à des buts de publicité ciblée
L’enquête a examiné le traitement par LinkedIn des données personnelles à des fins d’analyse comportementale et de publicité ciblée des utilisateurs ayant créé un profil de membre sur LinkedIn. La décision a été notifiée à LinkedIn le 22 octobre 2024, concerne la licéité, la loyauté et la transparence de ce traitement. La décision comprend un blâme, une injonction à LinkedIn de mettre son traitement en conformité et des amendes administratives d’un montant total de 310 millions d’euros.
Le RGPD n’a pas été respecté. LinkedIn n’a pas valablement invoqué l’article 6(1)(a) du RGPD (sur le consentement) pour traiter les données de tiers de ses membres à des fins d’analyse comportementale et de publicité ciblée au motif que le consentement obtenu par LinkedIn n’était pas donné librement, suffisamment éclairé ou spécifique, ou sans ambiguïté.
Absence de bonnes raisons pour traiter les données personnelles
Selon la DPC, LinkedIn n’a pas valablement invoqué l’article 6(1)(f) du RGPD (intérêts légitimes) pour traiter les données personnelles propriétaires de ses membres à des fins d’analyse comportementale et de publicité ciblée, ou les données de tiers à des fins d’analyse. Linkedin n’a pas valablement invoqué l’article 6(1)(b) du RGPD (nécessité contractuelle) pour traiter les données propriétaires de ses membres à des fins d’analyse comportementale et de publicité ciblée.
La décision fait suite à une enquête sur une plainte déposée par l’association française La Quadrature Du Net. La plainte a été initialement déposée auprès de la Cnil puis transmise à la DPC en sa qualité d’autorité de contrôle principale de LinkedIn, qui agit en tant que responsable du traitement des données personnelles en cause.
Les données « first party » et « third party » concernées
L’enquête a examiné la licéité, la loyauté et la transparence du traitement des données personnelles des utilisateurs de la plateforme LinkedIn à des fins d’analyse comportementale et de publicité ciblée. Les données personnelles en question comprenaient des données fournies directement à LinkedIn par ses membres (données first-party) et des données obtenues via ses partenaires tiers concernant ses membres (données third-party).