Par Haas Avocats
La solution de la société de prospection ciblée par la CNIL permet à ses utilisateurs d’obtenir les coordonnées professionnelles de personnes dont ils visitent le profil sur le réseau social LinkedIn. Près de 160 millions de contacts figurent dans la base de données constituée par la société[1].
A la suite de plusieurs saisines, les services de la Commission nationale de l’informatique et des libertés (CNIL), ont effectué un contrôle sur audition des représentants de la société entre juillet 2022 et mai 2024[2]. Le 5 décembre 2024, la Commission prononce à l’encontre de la société de prospection la décision[3] suivante :
- Une amende administrative à l’encontre de la société de prospection d’un montant de deux cent quarante mille (240 000) euros au regard des manquements relevés ;
- Une injonction de mise en conformité quant aux manquements constatés assortie d’une injonction d’une astreinte de dix mille (10 000) euros par jour de retard à l’issue d’un délai de six mois suivant la notification de la délibération.
Dans ce cadre, la décision est rendue publique du fait de la gravité de certains des manquements en cause, de la position de la société sur le marché, de la portée du traitement et du nombre de personnes concernées.
Des traitements de données personnelles constituées par les données des personnes cibles
La Commission constate que la société traite les données personnelles des personnes cibles, c’est à dire les personnes dont les coordonnées professionnelles ont été collectées par la société à partir de différentes sources, dont LinkedIn et versées dans sa base de données. Cette mise à disposition des données de contact des personnes cibles par la société de prospection à ses utilisateurs « alors qu’elles avaient choisi de ne pas les rendre publiques à tous, excède ce à quoi peuvent raisonnablement s’attendre les personnes qui s’inscrivent sur un réseau social professionnel tel que LinkedIn ».
Les manquements constatés par la CNIL
Dans le cadre de son contrôle, la CNIL a pu constater les manquements suivants :
- Un manquement à l’obligation de disposer d’une base légale,
- Un manquement à l’obligation de définir et de respecter une durée de conservation des données proportionnée à la finalité du traitement,
- Un manquement à l’obligation de transparence et d’information des personnes,
- Un manquement à l’obligation de faire droit aux demandes d’exercice du droit d’accès.
Plus précisément, il ressort du contrôle de la CNIL les analyses suivantes :
|
Manquements |
Analyse |
MESURES A ADOPTER |
|
1. A l’obligation de disposer d’une base légale |
S’agissant de personnes ayant limité l’affichage de leurs coordonnées, la mise à disposition des données de contact des personnes cibles par la société de prospection à ses utilisateurs constitue un manquement. S’agissant du caractère personnel des données, les coordonnées professionnelles " sont des DCP (identification de personnes physiques) (CJUE, Volker e. a.). S’agissant de l’intérêt poursuivi (nature commerciale et inséparable du modèle économique de la société), la CNIL estime qu’il peut être qualifié de légitime sauf pour les personnes ayant limité l’affichage de leurs coordonnées. |
- de cesser de collecter des données des contacts des utilisateurs de la société de prospection ayant choisi de limiter la visibilité de leurs coordonnées ;
- de supprimer l’ensemble des données de contacts importées lors de la synchronisation des comptes LinkedIn des utilisateurs ayant choisi de limiter la visibilité de leurs coordonnées ou à défaut. |
|
2. A l’obligation de définir et de respecter une durée de conservation des données proportionnée à la finalité du traitement |
La CNIL note que pour les personnes qui changent de poste ou d’employeur dans un intervalle de moins de 5 ans, ce renouvellement de la durée de conservation conduit à une conservation de leurs données disproportionnée. La formation restreinte considère que cette conservation " dynamique " par automaticité n’est pas compatible avec le respect du principe de conservation proportionnée. |
- cesser de renouveler automatiquement la durée de conservation de 5 ans des données des personnes cibles dès la mise à jour de leur profil et ne conserver les données que pour une durée proportionnée au traitement (concernant les personnes cibles). |
|
3. A l’obligation de transparence et d’information des personnes |
La société avait la capacité d’informer les personnes cibles que leurs données étaient traitées (présence des DCP collectées dans une adresse de messagerie électronique).. La CNIL constate que l’information délivrée dans le courriel est exclusivement rédigée en anglais, (absence d’information aux non-anglophones). L’obligation d’information n’est pas accomplie via sa politique de confidentialité ou de celle de LinkedIn. |
-Informer les personnes concernées de l’ensemble des mentions prévues dans une langue maitrisée par ces dernières. |
|
4. A l’obligation de faire droit aux demandes d’exercice du droit d’accès |
La société a disposé du temps afin d’apporter tout élément de nature à démontrer le sort réservé aux plaintes communiquées par la CNIL. La CNIL rappelle l’obligation de fournir toute information disponible quant à la source des données détenues le cas échéant. La CNIL rappelle le droit de prendre connaissance du traitement de ses données et d’en vérifier la licéité. Cela exige que les informations fournies soient les plus précises possible. |
- de répondre aux demandes de droit d’accès des personnes en leur fournissant toute information disponible quant à la source qui a permis le versement de leurs données de contacts dans la base de données de la société ; - et de faire droit aux demandes de droit d’accès des personnes à l’origine des saisines (…) dans les mêmes conditions, avant suppression des données relatives aux saisines (…) |
La décision rendue par la CNIL à l’encontre de la société de prospection illustre l’importance de respecter les principes fondamentaux de la protection des données personnelles, particulièrement dans un contexte où le milieu business repose sur des modèles économiques exploitant un grand nombre de données.
Les manquements constatés par la CNIL soulignent que la collecte et l’utilisation de données doivent être conformes aux attentes raisonnables des utilisateurs, particulièrement lorsqu’il s’agit de données issues de plateformes comme LinkedIn. En sanctionnant cette société, la CNIL réaffirme son rôle de garant de ces droits et envoie un message fort à l’ensemble des acteurs du milieu.
***
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.
[1] Au sein de l’Union Européenne, de la Norvège, de l’Islande et du Liechtenstein, l’origine géographique étant déterminée par l’adresse du lieu de travail.
[2] Ce contrôle avait pour objet de vérifier la conformité des traitements de données à caractère personnel mis en œuvre par la société de prospection aux dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil relatif à la protection des données à caractère personnel (RGPD), de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi LIL).
[3] Délibération SAN-2024-020 du 5 décembre 2024
