La CNIL a sanctionné la société KaspR à une amende de 240 000 euros.

La société KaspR développe une extension qui permet à ses utilisateurs d’obtenir les coordonnées professionnelles de personnes (numéro de téléphone et adresse mail) (= des personnes cibles) dont ils visitent le profil sur LinkedIn.

La finalité de l’extension Kaspr est de permettre aux utilisateurs de contacter les personnes cibles, par exemple pour de la prospection commerciale, du recrutement ou de la vérification d’identité, grâce aux coordonnées obtenues.

Les données collectées concernant les données de contact des personnes cibles sont les nom, prénom, adresse mail, numéro de téléphone, URL du profil LinkedIn ou autres réseaux sociaux, employeur, entreprise, intitulé du poste, compétences, intérêt professionnel, carrière, date d’embauche et de fin de poste, formation, lieu de travail, source de la donnée et date de la collecte.

KaspR collecte les données par le biais de 3 sources :

  • des “fournisseurs” qui collecte eux-mêmes des données à partir de sources professionnelles publiquement accessibles comme LinkedIn, Whois, GitHub
  • les annuaires des registres de noms de domaines
  • l’import des contacts LinkedIn d’un utilisateur lors de l’activation de KaspR.

Environ 160 millions de contacts figurent dans la base de donnés constituée par Kaspr.

  1. Sur la compétence de la CNIL

Dès lors que l’établissement unique de la société Kaspr se trouve en France, et que le traitement de données en cause a lieu dans le cadre de l’activité de cet établissement, la CNIL est l’autorité compétente pour connaître de la conformité des traitements au RGPD.

La CNIL rappelle que le responsable de traitement dont l’établissement se trouve sur le territoire de l’Union européenne est tenu de respecter le RGPD à l’égard de toutes les personnes dont il traite les données sans opérer de distinction entre les personnes selon leur localisation.

2. Sur le manquement à l’obligation de disposer d’une base légale

La question se pose de savoir si l’intérêt légitime de Kaspr peut être utilisée comme base légale pour le traitement des données personnelles des personnes cibles.

La CNIL rappelle que le fait que la base de données soit uniquement constituée de coordonnées “professionnelles” des personnes cibles n’a pas d’incidence sur le fait qu’il s’agit bien de données “personnelles” dès lors que ces données se rapportent à des personnes physiques.

La CNIL estime que l’intérêt poursuivi peut être qualifié de légitime en ce qu’il présente une nature commerciale et qu’il est consubstantiel au modèle économique de la société. Cet intérêt peut s’étendre aux clients de Kaspr qui bénéficient d’un intérêt en utilisant ces contacts pour de la prospection commerciale ou du recrutement.

Pour pouvoir fonder un traitement de données sur la base de l’intérêt légitime, le traitement ne doit pas heurter les droits et intérêts des personnes dont les données sont traitées, compte tenu de leurs attentes raisonnables.

Sur LinkedIn, certaines personnes restreignent la visibilité de leurs coordonnées à leurs relations de 1er et/ou 2ème niveau. Or, avec son extension, la société Kaspr révèle ces coordonnées à des personnes qui ne sont pas des relations de 1er et/ou 2ème niveau. La CNIL considère donc que le fait d’avoir choisi de masquer leurs coordonnées équivaut à une forme d’opposition, corolaire indispensable de l’intérêt légitime, qui doit être pris en compte.

En révélant ces coordonnées, la société va à l’encontre des attentes raisonnables des personnes.

La CNIL souligne que la politique de confidentialité de LinkedIn insiste sur le fait que les données traitées à partir de son réseau social le soit conformément aux préférences des utilisateurs.

La CNIL relève que les autres bases légales ne sont pas utilisées pour fonder ce traitement :

  • les personnes n’ont pas consenti à l’aspiration de leurs données de contact
  • aucun contrat ne lie les personnes concernées à Kaspr

Les autres bases légales ne sont pas non plus utilisées.

3. Sur le manquement à l’obligation de définir et respecter une durée de conservation des données proportionnée à la finalité du traitement

L’extension avait été créée en 2018. Jusqu’en 2024, la société conservait les données des clients à des fins de prospection commerciale de manière illimitée, tant que ces derniers ne s’y étaient pas opposés.

Aucun manquement en matière de durée de conservation n’est constaté pour les données des clients de la société.

Postérieurement au contrôle, la société a établi une politique de conservation des données consistant à conserver les données pendant 5 ans à partir de chaque mise à jour des données, qui intervient généralement quand une personne change de poste ou d’employeur.

Or, la CNIL relève que pour les personnes qui changent de poste ou d’employeur dans un intervalle de moins de 5 ans, ce renouvellement de la durée de conservation conduit à une conservation de leurs données disproportionnée.

En effet, les personnes cibles ne sont pas utilisatrices du service proposé par Kaspr et n’ont pas de relation avec le responsable de traitement.

La CNIL considère qu’il conviendrait que la société cesse le renouvellement dynamique automatique de la conservation des données personnelles des personnes cibles pour que Kaspr ne conserve par leurs données de manière indéterminée et illimitée mais au maximum pendant 5 ans.

4. Sur le manquement à l’obligation de transparence et d’information des personnes

En vertu du RGPD, le responsable de traitement doit informer les personnes concernées du traitement de données, même quand leurs données ont été collectées indirectement.

Cette obligation d’information ne s’impose pas quand la fourniture de telles informations est impossible ou exigerait des efforts disproportionnés ou quand le respect de cette obligation d’information est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs du traitement de données.

Or, ce n’est qu’à partir du 18 mai 2022 que la société a commencé à informer les personnes concernées que leurs données personnelles avaient été collectées dans un mail en anglais renvoyant vers un lien permettant de s’opposer au traitement.

Les données des personnes cibles ont été collectées et traitées pendant 4 ans sans qu’aucune information ne le soit transmise par la société.

La CNIL considère que la société ne peut se prévaloir de sa politique de confidentialité ou de celle de LinkedIn pour considérer qu’elle a rempli son obligation d’information vis-à-vis des personnes concernées par le traitement.

La phrase dans la politique de confidentialité qui indique “Nous collectons ces données auprès de sources publiques, d’annuaires professionnels et de nos partenaires ponctuellement“ ne permet pas d’apporter d’information assez précise sur la source des données collectées.

La CNIL considère que l’information des personnes uniquement par un email disponible en anglais ne répond pas à l’exigence de fourniture d’une information transparente de l’article 12 du RGPD.

La CNIL considère le seul fait que des personnes soient inscrites sur LinkedIn et travaillent dans un pays de l’Union européenne ne préjuge pas de leur niveau d’anglais.

Elle se réfère notamment à la décision récente de l’autorité de protection des données néérlandaise contre Uber qui a considéré que le responsable de traitement est dans l’obligation de traduire les informations fournies aux personnes dont les données sont traitées dans une langue qu’elles comprennent et qu’il n’est pas possible de préjuger de leur niveau d’anglais.

La CNIL relève un manquement à l’obligation d’information des personnes sur le traitement de leurs données.

5. Sur le manquement à l’obligation de faire droit aux demandes d’exercice du droit d’accès

Les plaignants s’interrogeaient sur la manière dont la société avait obtenu leurs coordonnées, sans qu’une réponse précise ne leur ait été apportée, la société indiquant uniquement que les données étaient disponibles sur des sources publiquement accessibles.

La phrase dans la politique de confidentialité qui indique “Nous collectons ces données auprès de sources publiques, d’annuaires professionnels et de nos partenaires ponctuellement“ ne permet pas d’apporter d’information assez précise sur la source des données collectées.

Or, pourtant la société avait identifié trois sources principales de données : LinkedIn, des annuaires professionnels comme Whois et Github et des fournisseurs de données de temps à autres.

La CNIL indique que la mention de “nos fournisseurs de données de temps à autres” ne donne aucune précision sur les différents “fournisseurs” et considère que dès lors que Kaspr a connaissance des différentes sources précises, elle doit les renseigner.

La CNIL rappelle que le droit d’accès a pour objectif de permettre à la personne concernée de prendre connaissance du traitement de ses données et d’en vérifier la licéité. L’exercice de ce droit suppose donc que les informations fournies soient les plus précises possibles

La société n’a pas renseigné les personnes cibles ayant exercé leur droit d’accès sur la source à partir de laquelle elle avait collecté leurs données, de sorte qu’un manquement à l’article 15 du RGPD est constitué.

6. Sur le montant de la sanction

La CNIL justifie notamment le montant de la sanction par le nombre important de personnes concernées, la base de données de Kaspr comprenant près de 160 millions de contacts au jour du contrôle CNIL.

La CNIL souligne que la société tire tous ses revenus de la facturation à ses clients d’un service dont le fonctionnement repose en partie sur des données collectées illicitement et, jusqu’en 2022, à l’insu des personnes concernées.

 

Vous cherchez un avocat RGPD pour votre mise en conformité au RGPD ? Contactez-moi.