La CNIL inflige une amende de 240 000 euros à KASPR pour collecte illégale de coordonnées sur LinkedIn
Le 5 décembre 2024, la CNIL, a infligé une amende de 240 000 € à KASPR, une société qui commercialise une extension de navigateur permettant aux utilisateurs d'obtenir des coordonnées professionnelles à partir de profils LinkedIn. Cette décision met en évidence les principaux points de conformité au RGPD et offre des enseignements importants aux entreprises qui traitent des données.
L'extension de KASPR a été conçue pour aider les utilisateurs à recueillir des coordonnées professionnelles sur LinkedIn, même à partir de profils dont la visibilité des contacts avait été limitée. L'entreprise a constitué une base de données de 160 millions de coordonnées, qui ont été utilisées à des fins de prospection commerciale, de recrutement et de vérification d'identité. La CNIL a reçu de nombreuses plaintes de personnes qui avaient été contactées par des entreprises utilisant des données obtenues grâce au service de KASPR.
Principales violations du RGPD
À la suite d'une enquête, la CNIL a identifié plusieurs violations du RGPD, ce qui a conduit à l'imposition d'une amende et à la mise en place d'un ensemble de mesures correctives. Voici le détail des violations :
1. Absence de base légale pour la collecte de données
En vertu de l'article 6 du RGPD, les entreprises doivent disposer d'une base légale pour le traitement des données à caractère personnel. KASPR a collecté les coordonnées d'utilisateurs de LinkedIn qui avaient restreint la visibilité de leurs informations aux relations de premier et deuxième degré. Cela a été considéré comme une violation car KASPR a accédé à des données que les utilisateurs avaient choisi de limiter à un groupe spécifique.
2. Absence de définition d'une période de conservation des données
Selon l'article 5(1)(e), les données ne doivent pas être conservées plus longtemps que nécessaire pour atteindre l'objectif visé. KASPR a stocké des données pendant cinq ans, renouvelant automatiquement la période de conservation chaque fois qu'une personne changeait de poste. Cela a conduit à une conservation prolongée des données, qui n'était pas proportionnelle à l'objectif commercial.
3. Manque de transparence et d'information des personnes concernées
KASPR n'a informé les personnes concernées de la collecte de leurs données que quatre ans après le lancement de l'extension, et la notification a été envoyée en anglais, ce qui n'était pas idéal pour de nombreux destinataires. Le RGPD exige que les entreprises fournissent aux personnes concernées des informations claires et transparentes sur les pratiques de traitement des données.
4. Non-respect du droit d'accès
Lorsque des personnes ont demandé des détails sur la manière dont leurs données avaient été collectées, KASPR n'a pas été en mesure de fournir des informations spécifiques sur les sources des données, bien qu'elle en connaisse certaines. Le RGPD accorde aux personnes le droit d'accéder aux informations sur les sources de leurs données.
Les sanctions et injonctions de la CNIL
L'amende de la CNIL et les mesures correctives constituent un signal d'alarme pour les entreprises qui traitent de grands volumes de données personnelles. En plus de l'amende, KASPR a reçu l'ordre de :
Cesser de collecter des données auprès de personnes ayant restreint la visibilité de leurs coordonnées et supprimer toute donnée collectée illégalement.
Cesser le renouvellement automatique des périodes de stockage des données.
Fournir une communication claire et compréhensible aux personnes dont les données sont traitées, en particulier dans une langue qu'elles peuvent facilement comprendre.
Répondre de manière exhaustive aux demandes d'accès aux données, en précisant notamment les sources des données.
L'entreprise a jusqu'au 18 juin 2025 pour se conformer pleinement à ces exigences.
Ce que les entreprises doivent retenir de cette décision
Pour rester conformes au RGPD, les entreprises doivent placer la confidentialité au premier plan, en respectant les préférences des utilisateurs. Par exemple, ce n'est pas parce qu'un profil de réseau social est public qu'il est possible de collecter les coordonnées d'une personne sans son consentement.
Il est tout aussi important d'établir des politiques claires de conservation des données. Conserver des données plus longtemps que nécessaire représente non seulement un risque de non-conformité, mais érode également la confiance. Les entreprises doivent régulièrement revoir ces politiques pour s'assurer qu'elles sont conformes aux exigences légales. La transparence est un autre facteur clé. Les utilisateurs doivent toujours être informés de la manière dont leurs données sont utilisées et se voir proposer des options claires pour se désinscrire. Les retards ou le manque de clarté dans la communication peuvent entraîner un contrôle réglementaire et nuire à la réputation. En outre, les entreprises doivent être prêtes à répondre efficacement aux demandes d'accès, en fournissant aux personnes concernées des informations claires sur la manière dont leurs données ont été obtenues et traitées. Une approche structurée du traitement des données garantit non seulement la conformité, mais renforce également la confiance des clients et la crédibilité de l'entreprise.
Comment Gerrish Legal peut vous aider ?
Gerrish Legal est un cabinet juridique numérique et dynamique. Nous sommes fiers de prodiguer des conseils juridiques experts et de haute qualité à nos précieux clients. Nous sommes spécialisés dans de nombreux aspects du droit numérique tels que le RGPD, la confidentialité des données, le droit numérique et technologique, le droit commercial et la propriété intellectuelle.
Nous offrons aux entreprises le soutien dont elles ont besoin pour gérer leurs activités avec succès et en toute confiance tout en se conformant aux réglementations légales, sans avoir à se plier aux exigences numériques en constante évolution.
Nous sommes là pour vous aider, contactez-nous dès aujourd’hui pour plus d’informations.
Article de Marina Danielyan et Abigail Lee, Paralegals pour Gerrish Legal