Pour fonder un traitement de données personnelles sur la base légale de l’intérêt légitime, certaines conditions doivent être réunies pour être conforme au RGPD.

Dans la décision de la CNIL à l’encontre de la société Kaspr, la CNIL s’est posée la question de savoir si le traitement de données personnelles pouvait être fondé sur l’intérêt légitime.

Kaspr permet à ses utilisateurs, via une extension, d’obtenir le numéro de téléphone et l’adresse mail de professionnels (”personnes cibles”) dont ils visitent le profil sur LinkedIn. Ces coordonnées sont ensuite utilisées pour de la prospection commerciale, du recrutement ou de la vérification d’identité.

  • L’intérêt poursuivi par l’organisme doit être légitime

La CNIL estime que l’intérêt poursuivi peut être qualifié de légitime en ce qu’il présente une nature commerciale et qu’il est consubstantiel au modèle économique de la société. Cet intérêt peut s’étendre aux clients de Kaspr qui bénéficient d’un intérêt en utilisant ces contacts pour de la prospection commerciale ou du recrutement.

  • le traitement ne doit pas heurter les droits et intérêts des personnes dont les données sont traitées, compte tenu de leurs attentes raisonnables

Sur LinkedIn, certaines personnes restreignent la visibilité de leurs coordonnées à leurs relations de 1er et/ou 2ème niveau. Or, avec son extension, Kaspr révèle ces coordonnées à des personnes qui ne sont pas des relations de 1er et/ou 2ème niveau. La CNIL considère donc que le fait d’avoir choisi de masquer leurs coordonnées équivaut à une forme d’opposition, corolaire indispensable de l’intérêt légitime, qui doit être pris en compte.

En révélant ces coordonnées, la société va à l’encontre des attentes raisonnables des personnes.

Kaspr ne pouvait donc pas se fonder sur l’intérêt légitime comme base légale de son traitement de données.

La CNIL relève que les autres bases légales ne sont pas utilisées pour fonder ce traitement :

  • les personnes n’ont pas consenti à l’aspiration de leurs données de contact
  • aucun contrat ne lie les personnes concernées à Kaspr

Les autres bases légales prévues par le RGPD ne sont pas non plus utilisées.

Vous cherchez un avocat RGPD pour votre mise en conformité au RGPD ? Contactez-moi.