KASPR : quand les fantômes passent à travers les murs mais pas à travers les mailles du filet de la Cnil !

Le 5 décembre 2024, la formation restreinte de la Cnil a prononcé une amende de 240 000 euros à l’encontre de la société KASPR, notamment pour avoir collecté sur LinkedIn les coordonnées d’utilisateurs qui avaient pourtant choisi d’en limiter la visibilité.

 

La société KASPR commercialise une extension pour le navigateur Chrome qui, lors de la visite du profil d’une personne sur LinkedIn, affiche les coordonnées professionnelles (numéro de téléphone et adresse électronique) de personnes physiques qui figurent dans la base de données KASPR. Pour accéder à ce service, l’utilisateur doit acheter et dépenser des ” crédits ” permettant d’afficher les coordonnées de la personne souhaitée (la personne cible).

 

La finalité de cette extension est de permettre à ces utilisateurs de contacter les personnes cibles, par exemple pour de la prospection commerciale, du recrutement ou de la vérification d’identité, grâce aux coordonnées de professionnels obtenues. Si les seules données pouvant être affichées par l’extension lors de la visite d’un profil LinkedIn sont le numéro de téléphone et l’adresse de courriel, les données collectées pas la société KASPR concernant les données de contacts des personnes cibles sont les nom, prénom, adresse de courriel, numéro de téléphone, URL du profil LinkedIn ou autres réseaux sociaux, employeur, entreprise, intitulé du poste, compétences, intérêt professionnel, carrière, date d’embauche et de fin de poste, formation, lieu de travail, source de la donnée et date de la collecte.

 

Pour constituer sa base de données (environ 160 millions de contacts), la société KASPR collecte des informations à partir de LinkedIn et d’autres sources publiques.

 

La Cnil a été saisie de plusieurs plaintes émanant de personnes démarchées après que leurs coordonnées ont été obtenues via l’extension KASPR. À la suite de contrôles, la formation restreinte de la CNIL a relevé plusieurs manquements au RGPD imputables à KASPR.

 

1. Un manquement à l’obligation de disposer d’un fondement juridique pour le traitement

 

Les utilisateurs de LinkedIn peuvent choisir parmi quatre options pour déterminer la visibilité de leurs coordonnées :

  • « Uniquement visible par moi »
  • « Visible par tous les membres de LinkedIn »
  • « Visible par mes relations de 1er niveau »
  • « Visible par mes relations de 1er et 2e niveaux »

 

La société KASPR a collecté les coordonnées des utilisateurs ayant restreint leur visibilité à leurs relations de 1er et 2e niveaux, contrevenant ainsi aux attentes raisonnables de ces personnes quant à la confidentialité de leurs informations. La Cnil a jugé que cette collecte dépassait ce que ces utilisateurs pouvaient raisonnablement attendre en s’inscrivant sur un réseau social professionnel et en choisissant de limiter la visibilité de leurs données à certains utilisateurs seulement. Elle en conclut que (i) si la société KASPR pouvait considérer que le traitement qu’elle mettait en œuvre était nécessaire à la poursuite de ses intérêts légitimes (ou de ceux de ses clients), les intérêts ou les libertés et droits fondamentaux des personnes concernées prévalaient sur l’intérêt légitime de la société KASPR à traiter leurs données pour pouvoir assurer le fonctionnement de son extension, (ii) de sorte que le fondement juridique de l’intérêt légitime de la société ne peut être retenu, et que le traitement visant à collecter les coordonnées des utilisateurs concernés était illicite car ne disposant pas d’un fondement juridique valable et approprié.

 

2. Un manquement à l’obligation d’information des personnes concernées

 

Par ailleurs, la société KASPR n’avait initialement pas informé les personnes concernées de la collecte et du traitement de leurs données, en violation de l’obligation de transparence imposée par le RGPD, alors même qu’elle était en capacité de le faire dès le déploiement de l’application, dès lors que parmi les données qu’elle collecte figure une adresse de messagerie électronique.

 

Si en 2022, soit 4 ans après la mise en œuvre de l’extension, la société a commencé à informer les personnes dont les données étaient collectées, elle l’a toutefois fait au moyen d’un email adressé à ces dernières en langue anglaise. La formation restreinte de la Cnil considère donc que, outre l’absence d’information des personnes sur la collecte de leurs données jusqu’en 2022, le fait d’adresser un email rédigé en anglais ne permettait pas une information transparente et compréhensible à l’attention de ces dernières, et constituait un manquement à l’obligation d’information des personnes concernées (et ce alors même que la société indique mettre désormais à disposition sa politique de confidentialité dans d’autres langues).

 

3. Un manquement à l’obligation de définir et de respecter une durée de conservation des données proportionnée à la finalité du traitement

 

La société mise en cause conservait en outre les coordonnées des personnes dont elle collectait les données pendant une durée de cinq ans à compter de la dernière mise à jour desdites données, généralement lors d’un changement d’emploi ou d’employeur.

 

Or, la formation restreinte considère que cette conservation ” dynamique ” par automaticité n’est pas compatible avec le respect du principe de conservation proportionnée. En effet, les personnes cibles ne sont pas utilisatrices du service proposé par KASPR et n’ont pas de relation avec le responsable de traitement. Les personnes cibles sont ainsi passives vis-à-vis du traitement et captives de celui-ci, dès lors qu’elles ne font pas le choix d’être intégrées dans la base de données. La formation restreinte souligne que contrairement à des personnes qui auraient créé un compte en ligne sur un réseau social ou un site de commerce électronique et pour lesquelles il est possible de déterminer à quel moment elles sont devenues inactives il n’est, par nature, pas possible de déterminer un tel moment pour les personnes dont KASPR traite les données.

 

Ainsi, la formation restreinte de la Cnil estime que cette pratique pouvait conduire à une conservation des données pendant une durée disproportionnée, notamment pour les personnes changeant fréquemment de poste, contrevenant ainsi au principe de limitation et de proportionnalité de la conservation des données, et considère qu’il conviendrait que la société KASPR cesse le renouvellement dynamique automatique de la conservation des données à caractère personnel des personnes cibles afin de ne pas conserver leurs données de manière indéterminée et illimitée, mais au plus pendant cinq ans.

 

4. Un manquement à l’obligation de faire droit aux demandes d’exercice de leur droit d’accès par les personnes concernées

 

Lorsque des personnes ayant fait l’objet de démarchage interrogeaient la société KASPR dans le cadre de l’exercice de leur droit d’accès à leurs données à caractère personnel sur la manière dont leurs coordonnées avaient été obtenues, celle-ci se contentait de leur indiquer que leurs coordonnées avaient été collectées à partir de sources publiquement accessibles.

 

Or, la formation restreinte de la Cnil rappel que (1) la société aurait dû pouvoir indiquer aux personnes concernées toute information disponible quant à la source de collecte de leurs données, et que (ii) si elle était dans l’incapacité technique de préciser la source des données collectées pour chaque personne concernée, elle devait a minima répertorier l’ensemble des sources qu’elle utilisait (et ce d’autant que certaines sont désormais répertoriées dans sa politique de confidentialité).

 

La formation restreinte relève donc un manquement de la société KASPR à faire droit, de manière conforme aux dispositions applicables, aux demandes de droits d’accès émanant des personnes concernées.

 

5. La sanction prononcée par la formation restreinte de la Cnil

 

Tenant compte de l’ensemble de ces manquements, la formation restreinte de la Cnil a prononcé une amende de 240 000 euros à l’encontre de la société KASPR et a enjoint à la société de se conformer aux dispositions du RGPD, et notamment de :

  • cesser de collecter les données des personnes ayant choisi de limiter la visibilité de leurs coordonnées, et supprimer les données collectées de cette manière. À défaut, en cas d’impossibilité de distinguer les données dont la visibilité a été limitée, la société devra – dans un délai de 3 mois – informer les personnes concernées du traitement de leurs données et de la possibilité de s’y s’opposer, et de n’utiliser leurs données que dans ce but ;
  • cesser de renouveler automatiquement la durée de conservation de 5 ans des données des personnes cibles dès la mise à jour de leur profil et ne conserver les données que pour une durée proportionnée au traitement ;
  • informer les personnes dont les données sont collectées dans une langue qu’elles maîtrisent ;
  • faire suite aux demandes de droit d’accès des personnes en leur donnant toutes les informations dont elle dispose sur les sources de collecte des données.

 

Cette injonction est assortie d’une astreinte de 10 000 € par jour de retard à compter de l’issue d’un délai de six mois suivant la notification de la présente délibération, les justificatifs de la mise en conformité devant être adressés par la société KASPR à la formation restreinte dans ce délai.

 

Cette décision, rendue publique, a été adoptée en coopération avec les homologues européens de la Cnil, soulignant l’importance accordée à la protection des données personnelles à l’échelle européenne.

 

L’intégralité de la décision est disponible ici. Pour en savoir plus sur la doctrine de la Cnil en matière de réutilisation des données publiquement accessibles, voire également les recommandations de cette dernière.

 

 

Cette décision de la formation restreinte de la Cnil rappelle aux acteurs du numérique l’importance de respecter les réglementations en matière de protection des données à caractère personnel, sous peine de sanctions financières significatives et de forts risques d’atteinte à leur réputation. Elle souligne également la vigilance accrue des autorités de contrôle quant aux pratiques de collecte de données sur les réseaux sociaux et autres plateformes en ligne.

 

 

*              *

*

 

 

AGIL’IT se tient à votre disposition pour vous accompagner dans le cadre de la mise et/ou du maintien en conformité de vos pratiques au regard de la règlementation applicable en matière de protection des données à caractère personnel, notamment s’agissant du déploiement des actions et du cadre juridique appropriés en vue de la réutilisation de données publiquement accessibles (ex : projets de développement commercial, de conception d’outils utilisant l’intelligence artificielle,…).

 

Par AGIL’IT – Pôle ITData & Cyber

Laure LANDES-GRONOWSKI, Avocate associée