La CNIL a prononcé une sanction significative à l’encontre de la société Kaspr. Ce fournisseur d’une extension Chrome destinée à récupérer les coordonnées professionnelles des utilisateurs du réseau social LinkedIn a été condamné à payer une amende de 240 000 euros.
Une collecte de données controversée
Kaspr propose une solution technique qui permet d’accéder aux coordonnées professionnelles des individus dont le profil est consulté sur LinkedIn. Selon le gendarme français des données personnelles, cette méthode enfreint plusieurs principes fondamentaux du Règlement Général sur la Protection des Données (RGPD). Les utilisateurs de LinkedIn peuvent choisir de restreindre la visibilité de leurs informations personnelles, mais Kaspr continuait néanmoins de collecter ces données en dépit des préférences de confidentialité définies par les utilisateurs.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
C’est ce point précis qui a déclenché l’ire de la CNIL. En effet, elle considère que lorsque des personnes choisissent de limiter l’accès à leurs coordonnées, ce choix doit être respecté sans équivoque par les tiers. La collecte systématique de données rendues privées constitue une violation claire des attentes raisonnables des utilisateurs d’un réseau professionnel tel que LinkedIn.
Un stockage prolongé et disproportionné des données
Outre la collecte problématique des coordonnées, la CNIL reproche également à Kaspr une gestion inadéquate de la durée de conservation des données. De manière générale, les informations étaient conservées pendant cinq ans, une période jugée excessive surtout pour les professionnels changeant fréquemment de poste. De plus, chaque mise à jour par un utilisateur prolongeait cette période de conservation, exacerbant encore la disproportion du traitement des données.
La CNIL a souligné que cette approche contrevenait directement à l’obligation de proportionnalité posée par le RGPD. Elle a statué que la société devait impérativement revoir ses pratiques pour se conformer aux exigences légales, notamment en ajustant la durée de conservation des informations collectées.
Manquement à l’obligation de transparence
La transparence est un pilier essentiel du RGPD, et c’est un autre domaine où Kaspr a failli. Jusqu’en 2022, les personnes concernées n’étaient pas informées de la collecte ni de l’utilisation de leurs données personnelles. Lorsque des plaintes ont été formulées, les réponses fournies par Kaspr étaient vagues et insatisfaisantes, mentionnant simplement que les données provenaient de sources publiquement accessibles.
Cette opacité a constitué une infraction directe aux obligations de transparence imposées par le RGPD. La CNIL a martelé que même si l’entreprise ne pouvait pas techniquement préciser l’origine précise des données pour chaque individu, elle se devait de fournir des informations claires sur les méthodes et sources générales utilisées pour la collecte des données.
Des mesures correctives exigées par la CNIL
En réponse aux infractions relevées, la CNIL a ordonné à Kaspr de prendre des mesures correctives. La société doit cesser immédiatement la collecte des coordonnées des personnes ayant limité leur visibilité sur LinkedIn et supprimer toutes les données obtenues sous ces conditions. Dans le cas où il serait impossible de distinguer ces données spécifiques, Kaspr est tenu d’informer les utilisateurs concernés du traitement de leurs informations et de leur offrir la possibilité de s’y opposer.
L’autorité française de protection des données a insisté sur l’importance de respecter les choix des utilisateurs en matière de confidentialité, ajoutant que le non-respect de ces directives se traduirait par des sanctions supplémentaires.
Cette affaire met en lumière les enjeux cruciaux liés à la collecte et à la gestion des données personnelles dans l’ère numérique actuelle. Pour éviter de nouvelles sanctions, les entreprises utilisant des techniques similaires doivent mettre en place des politiques strictes de conformité au RGPD. Des actions telles que celles prises contre Kaspr signalent clairement que les autorités de protection des données sont prêtes à agir sévèrement contre les violations.