Linked Out
La CNIL a prononcé une sanction de 240 000 euros contre l’entreprise Kaspr. Celle-ci propose une extension Chrome qui permet de récupérer les coordonnées d’utilisateurs de réseau social LinkedIn, et ce même s’ils ont choisi d’en limiter la visibilité.
Sur la page d’accueil du site internet de Kaspr, c’est clair, la principale activité qu’elle met en avant est celle de son extension Chrome pour trouver « des numéros de téléphone sur LinkedIn et Sales Navigator », un outil du réseau social destiné aux commerciaux pour gérer leurs prospects.
Next avait déjà parlé d’une autre extension, skrapp.io, lors de notre enquête sur les escrocs du scraping. Ici, l’extension récupère les coordonnées des personnes dont l’utilisateur visite le profil.
Sur son site, l’entreprise vante son extension avec un badge « Aligné RGPD », et sur le Chrome Store, elle assure à ses utilisateurs : « Travaillez avec des données conformes à la RGPD [sic] ». La formation restreinte relève par ailleurs que l’établissement unique de la société KASPR se trouve en France.
Pourtant, c’est bien pour des manquements au RGPD liés à cette extension que Kaspr vient de se faire épingler par la CNIL suite à plusieurs plaintes.
D’abord, la CNIL note dans sa délibération que Kaspr ne fait pas seulement sa collecte de données pour les utilisateurs de son extension, mais aussi pour son propre fichier : « la société collecte et conserve d’une part, les données de contacts des personnes cibles et d’autre part, les données des utilisateurs de l’extension KASPR qui sont utilisées par la société à des fins de prospection commerciale ».
Une collecte de données même si les utilisateurs ont limité leur visibilité
Et cette collecte est illégale car l’outil de Kaspr permet de récupérer les coordonnées d’utilisateurs qui ont expressément limité leur visibilité.
Le réseau social prévoit plusieurs niveaux de visibilité :
- « uniquement visible par moi » ;
- « tout le monde sur LinkedIn » ;
- « relations de 1er niveau » ;
- « relations de 1er et 2e niveaux ».
Kaspr a expliqué que ce n’est que dans les deux derniers cas qu’elle procède à la collecte des données. Elle considérait donc respecter le choix de l’utilisateur en ne collectant pas celles protégées par l’option « uniquement par moi ».
Mais la CNIL considère que « dès lors que les personnes font usage de leur liberté de choix en restreignant la visibilité de leurs données à caractère personnel, ce choix s’impose nécessairement aux tiers ». Elle ajoute qu’« ainsi, si un professionnel qui est inscrit sur LinkedIn choisit de limiter la visibilité de ses coordonnées, il ne peut être soutenu que la collecte de ses données par la société KASPR figure au titre des attentes raisonnables de cette personne ».
La CNIL considère que « le fait pour les personnes cibles d’avoir choisi de masquer leurs coordonnées équivaut à une forme d’opposition, corolaire indispensable de l’intérêt légitime, laquelle doit être prise en compte par la société qui n’a ainsi pas d’intérêt légitime pour collecter les coordonnées masquées ».
L’autorité estime qu’en restreignant à un certain niveau de relation l’accès à leurs données, les utilisateurs refusent clairement le traitement de leurs données : « en révélant les données des personnes cibles à des personnes qui leur sont inconnues alors qu’elles avaient choisi de restreindre la visibilité de leurs coordonnées (relations de 1er et/ou de 2ème niveaux), la société va directement à l’encontre de leurs « attentes raisonnables » ».
À partir de là, la CNIL juge qu’aucune base légale n’apparait valable pour le traitement en cause : « ni la base légale du consentement, ni celle du contrat, ni aucune autre des bases légales (respect d’une obligation légale, sauvegarde des intérêts vitaux de la personne concernée ou exécution d’une mission d’intérêt public) », et donc que l’entreprise a violé l’article 6 du RGPD.
Des données conservées trop longtemps
L’autorité considère aussi que Kaspr conserve trop longtemps certaines données qu’elle a collectées de façon licite. Elle relève que, jusqu’en 2021, l’entreprise conservait les données sans limite de temps. Kaspr a ensuite modifié sa politique de conservation, prévoyant une durée de 5 ans à partir de chaque mise à jour des données.
La CNIL considère que « ce renouvellement de la durée de conservation conduit à une conservation de leurs données disproportionnée » pour les personnes qui changent de postes régulièrement et qui mettent donc à jour leurs données à chaque fois, prolongeant de ce fait leur conservation. Cette disproportion contrevient donc, selon l’autorité, à l’article 5 du RGPD.
Autre problème : Kaspr n’a commencé à informer les personnes concernées qu’elle collectait leurs données qu’à partir du 18 mai 2022 alors que son extension a été créée en 2018. Le rapporteur de la CNIL souligne que cette information était pourtant facile à faire « dès lors que parmi les données qu’elle collecte figure une adresse de messagerie électronique ». Il note que, depuis, l’information n’est rédigée qu’en anglais, « ce qui ne permet pas d’informer valablement les personnes ne maitrisant pas cette langue ».
L’entreprise s’est défendue sur le sujet en faisant remarquer qu’entre 2018 et 2022, elle considère avoir informé les personnes par l’intermédiaire de ses politiques de confidentialité et de celles de LinkedIn. La CNIL a balayé cette défense en expliquant que celles du réseau social ne prévoient pas le traitement des données qu’un utilisateur souhaitait garder privées et que celles de Kaspr sont très floues. Pour la CNIL, cela signe clairement un manquement à l’obligation de transparence et d’information des personnes prévue par les articles 12 et 14 du RGPD.
Enfin, plusieurs personnes qui ont demandé à Kaspr l’origine des données qu’elle a collectées « n’ont reçu aucune réponse précise de la part de la société, cette dernière se contentant de leur indiquer que les données étaient disponibles sur des sources publiquement accessibles ».
La CNIL remarque qu’ « il ressort des pièces du dossier que la société KASPR a pourtant identifié précisément une partie des sources qui alimentent sa base de données » et qu’elle aurait donc pu leur fournir comme l’exige l’article 15 du règlement européen.
Kaspr peut étonnement conserver les données sous certaines conditions
En dehors de l’amende de 240 000 euros, l’autorité demande à Kaspr de cesser la collecte des données dont la visibilité est limitée par l’utilisateur de LinkedIn.
À première vue, elle lui demande aussi de « supprimer l’ensemble des données de contacts importées lors de la synchronisation des comptes LinkedIn des utilisateurs ayant choisi de limiter la visibilité de leurs coordonnées ».
Mais elle lui permet étonnamment de les garder « en cas d’impossibilité de distinguer ces données dont la visibilité a été limitée des autres données », en lui demandant d’informer, dans un délai de 3 mois, ces utilisateurs du traitement de leurs données et de la possibilité de s’y opposer.
Comme à chaque décision de ce genre, l’autorité précise que Kasper peut faire un recours devant le Conseil d’État dans un délai de deux mois à compter de sa notification.