En sanctionnant la société
parisienne KASPR pour des collectes et des conservations illicites de données
personnelles, la commission nationale de l’informatique et des libertés (CNIL)
envoie un signal fort : elle veille au grain s’agissant du respect du RGPD
par les entreprises du numérique.
Le 5 décembre 2024, la
Commission Nationale de l’Informatique et des Libertés (CNIL) a sanctionné la
société KASPR « pour avoir collecté sur LinkedIn les coordonnées
d’utilisateurs qui avaient pourtant choisi d’en limiter la visibilité ».
KASPR est une entreprise française créée en 2018 et qui emploie 32 salariés.
Elle propose des services de prospection commerciale afin d’aider les
entreprises « à obtenir les coordonnées de contacts identifiés »,
notamment sur LinkedIn, comme elle le précise sur son site internet. La startup
promet donc à ses clients de leur fournir les courriels et les numéros de
téléphone de professionnels ciblés dans le but de les démarcher. Pour ce faire,
elle propose à la vente une extension du navigateur Chrome, permettant à ses
clients d’accéder aux coordonnées professionnelles de divers profils sur LinkedIn.
En constituant une base de données à partir de ce réseau social et d’autres
sites internet, tels que des annuaires de noms de domaines, KASPR est parvenu à
accumuler quelque 160 millions de contacts, selon la CNIL.
Dans sa délibération, la Commission
affirme avoir reçu plusieurs saisines d’utilisateurs de LinkedIn démarchés,
après la divulgation de leurs coordonnées par l’extension de KASPR. À la suite
de ces plaintes, la CNIL a mené, en 2022, un contrôle sur audition des
représentants de la société parisienne, avant de considérer que la startup « avait
manqué à plusieurs obligations prévues par le règlement général sur la
protection des données (RGPD) ». Pour rappel, le RGPD, entré en application en 2018, encadre
le traitement des données personnelles, notamment dans l’espace numérique, sur
le territoire de l’Union européenne. Il s’inscrit dans la continuité de la loi nationale
« Informatique et Libertés » de 1978. Alors que le RGPD s’applique
à toute organisation publique ou privée établie au sein de l’Union européenne,
la CNIL a relevé quatre manquements à ce cadre législatif, par la société
KASPR. En conséquence, elle a prononcé une amende de 240 000 euros à son
encontre et l’a enjoint de se mettre en conformité.
Des collectes et des
conservations de données illicites
La CNIL a principalement
reproché à la société KASPR d’avoir manqué à son obligation de disposer d’une
base de données légale, en vertu de l’article 6 du RGPD. En effet, ce texte définit la licéité du traitement des
données personnelles dans le cas où « la personne concernée a consenti
au traitement de ses données pour une ou plusieurs finalités spécifiques »,
comme l’indique son alinéa a. Pourtant, KASPR n’a pas recueilli l’autorisation préalable
des utilisateurs concernés par la collecte de leurs données. En effet,
sur ce réseau social prisé des professionnels, les internautes ont la
possibilité de limiter l’accès à leurs coordonnées lorsqu’un tiers visite leur
profil. Quatre fonctions d’apparition de ces données existent :
« uniquement visible par moi », « tout le monde sur
LinkedIn », « relations de premier niveau », « relations de
premier et deuxième niveaux » (c’est-à-dire les contacts et les contacts
de contacts).
Or, la CNIL a considéré que
les utilisateurs ayant approuvé le partage de leurs données pour les relations
de premier et de deuxième niveaux, ne signifiait pas pour autant une
autorisation préalable à la collecte de données. Ainsi, dans sa délibération du
5 décembre 2024, la CNIL a précisé que « le traitement [des données]
présente une atteinte particulièrement forte aux droits des personnes dans la
mesure où il va à l’encontre de leur souhait de garder ces données privées ». Elle a
également spécifié que « les coordonnées ont été collectées
illicitement », puisque les utilisateurs ciblés par KASPR avaient « expressément
limité la visibilité » de leurs données à leur réseau et aux contacts
de leur réseau uniquement.
Secondement, la CNIL a
reproché à KASPR d’avoir
manqué à son obligation de respecter une durée de conservation des données
de manière proportionnée à la finalité du traitement, en vertu de l’article
5-1-e du RGPD. Selon la
Commission, KASPR a collecté des données, « de façon
licite », d’utilisateurs qui « ont choisi de laisser visibles
leurs coordonnées sur LinkedIn ». Pour autant, la société parisienne conservait
ces informations pour une durée de cinq ans. À partir de chaque mise à jour des
profils, correspondant à des changements de poste ou d’employeurs, KASPR
conservait durant cinq années supplémentaires les données collectées. La CNIL a
donc jugé cette temporalité de conservation « disproportionnée »,
notamment pour les professionnels changeant régulièrement de postes ou
d’employeurs.
Une opacité des informations auprès
des utilisateurs ciblés
Le gendarme français des
données personnelles a également accusé KASPR d’avoir manqué à son obligation
de transparence et d’information des personnes ciblées par la collecte de leurs
données, prévue par les articles 12 et 14 du RGPD. Le premier texte stipule que
« le responsable du
traitement [des données] prend des mesures appropriées pour fournir toute information […] en ce qui concerne le traitement à la personne concernée d'une façon
concise, transparente, compréhensible et aisément accessible, en des termes
clairs et simples ». Le
second article prévoit, quant à lui, que le responsable de la collecte
fournisse plusieurs informations à la personne ciblée. Il doit, par exemple,
transmettre « les finalités du traitement auquel sont destinées les
données à caractère personnel ainsi que la base juridique du traitement »,
« les catégories de données à caractère personnel concernées »,
« les destinataires des données » et « la durée pendant
laquelle les données seront conservées ». La startup a aussi
l’obligation d’informer l’utilisateur de « l'existence du droit de
retirer [son] consentement à tout moment » et de lui spécifier la source des données collectées.
Or, KASPR avait informé les utilisateurs concernés par les collectes de
données à partir de 2022, soit quatre ans après la mise en œuvre de son extension
Chrome, par un courriel rédigé en anglais. La CNIL a donc relevé « l’absence
d’information des personnes sur la collecte de leurs données jusqu’en
2022 », tout en considérant qu’un courriel envoyé en anglais ne
constituait pas « une information transparente et compréhensible »
pour les utilisateurs.
Enfin, la CNIL a considéré que la société parisienne a manqué à son
obligation de faire droit aux demandes d’exercice du droit d’accès, en vertu de
l’article 15 du RGPD. Celui-ci prévoit que « la personne concernée a le
droit d'obtenir du responsable du traitement la confirmation
que des données à caractère personnel la concernant sont ou ne sont pas
traitées et, lorsqu'elles le sont, l'accès auxdites données ». Alors
que des utilisateurs démarchés avaient interrogé la société KASPR sur la manière dont leurs données
avaient pu être collectées, la société parisienne leur avait répondu que leurs
coordonnées avaient été collectées à partir de sources publiquement accessibles.
Pourtant, selon la CNIL, la startup avait « connaissance d’une partie
des sources qui alimentent sa base » et aurait pu en informer les
personnes requérantes puisque « ces sources étaient répertoriées dans sa
politique de confidentialité ». Ainsi, la Commission a considéré que,
même si la société n’avait pas la possibilité technique de rendre compte de
l’origine précise des données collectées, elle avait néanmoins l’obligation de
communiquer de manière générale sur les sources utilisées au moment de la
collecte.
240 000 euros d’amende et une injonction de mise en conformité
À la lumière de ces
constatations, la formation restreinte de la CNIL, qui s’est tenue le 19
septembre 2024, a prononcé une amende significative de 240 000 euros à
l’encontre de KASPR. Elle lui a également ordonné de prendre des mesures
correctives et l’a enjoint de se mettre en conformité dans un délai de six
mois. Ainsi, KASPR doit cesser la collecte de données d’utilisateurs ayant
limité leur accès et doit supprimer les données qui ont été collectées dans ce
cadre. S’il n’est pas possible d’établir la licéité de la collecte, la CNIL demande à KASPR
d’en informer les utilisateurs dans un délai de trois mois et de leur offrir la
possibilité de s’opposer à l’utilisation de leurs coordonnées. La startup doit
aussi cesser le renouvellement automatique de la conservation des données
personnelles lorsqu’un profil LinkedIn est mis à jour, afin de « ne
conserver que les données pour une durée proportionnée au traitement ».
KASPR a aussi l’obligation d’informer les utilisateurs dont les données
personnelles ont été collectées et d’assurer cette information dans une langue
que ces derniers maîtrisent. Cette mesure permet de faciliter l’accès à une
opposition de l’utilisation des données, si les personnes concernées le
souhaitent. Enfin, la CNIL a enjoint KASPR de faire suite aux demandes de droit
d’accès des personnes dont les données ont été collectées, « en leur
donnant toutes les informations dont elle dispose sur les sources de collecte
des données », avant de les supprimer, si les utilisateurs le demandent.
La CNIL a également rappelé que
de nouvelles sanctions pourront être prononcées à l’encontre de la société
parisienne, si ses injonctions ne sont pas respectées. Elle a aussi rappelé « la
gravité de certains des manquements en cause » et le « nombre
important de personnes concernées » par les collectes et les conservations
illicites de données personnelles. Par ailleurs, la Commission espère que la
publicité de cette sanction « permettra d’informer les personnes
concernées […] afin qu’elles puissent faire valoir leurs
droits ». KASPR a donc jusqu’au 18 juin 2025 pour se
mettre en conformité, sous peine d’une astreinte d’un montant de 10 000 euros
par jour de retard.
Inès
Guiza