Aspiration de données : sanction de 240 000 euros à l’encontre de la société KASPR

Le contexte

La société KASPR commercialise une extension payante pour le navigateur Chrome qui permet à ses clients d’obtenir les coordonnées professionnelles de personnes dont ils visitent le profil sur le réseau social LinkedIn. Pour ce faire, la société se constitue une base de coordonnées à partir de Linkedin et d’autres sites web, tels que des annuaires de noms de domaines. Les coordonnées ainsi collectées sont susceptibles de permettre aux clients de la société de contacter les personnes cibles, par exemple pour de la prospection commerciale ou de la vérification d’identité. Environ 160 millions de contacts figurent dans la base de données constituée par la société KASPR.

La CNIL a reçu plusieurs plaintes de personnes démarchées par des entités ayant eu connaissance de leurs coordonnées grâce à l’extension KASPR.

Sur la base des constatations effectuées lors d’un contrôle, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a considéré que la société avait manqué à plusieurs obligations prévues par le règlement général sur la protection des données (RGPD). Elle a prononcé à l’encontre de la société KASPR une amende de 240 000 euros rendue publique, et a enjoint la société de se mettre en conformité. Cette amende a été adoptée en coopération avec tous les homologues européens de la CNIL.

Les manquements sanctionnés

Un manquement à l’obligation de disposer d’une base légale (article 6 du RGPD)

Sur Linkedin, les utilisateurs ont le choix entre quatre options pour déterminer la visibilité de leurs coordonnées :

1. « uniquement visible par moi » ;
2. « tout le monde sur LinkedIn » ;
3. « relations de 1er niveau » ;
4. « relations de 1er et 2e niveaux ».

La CNIL a considéré que la collecte par KASPR de coordonnées pour lesquelles les utilisateurs de Linkedin avaient expressement limité la visibilité excédait ce à quoi pouvaient raisonnablement s’attendre les personnes qui s’inscrivent sur un réseau social professionnel. La CNIL a relevé à ce propos que pour ces personnes, le fait d’avoir choisi de rendre leurs coordonnées visibles par leurs relations de 1er et de 2e niveaux, autrement dit par leurs contacts sur le réseau social et les contacts de leurs contacts, ne revenait pas à autoriser KASPR à accéder à leurs coordonnées et à les collecter.

La CNIL a ainsi considéré que dans ce cas de figure, les coordonnées ont été collectées illicitement.

Un manquement à l’obligation de définir et de respecter une durée de conservation des données proportionnée à la finalité du traitement (article 5-1-e du RGPD)

S’agissant des données collectées par la société de façon licite, c’est-à-dire celles des personnes qui ont choisi de laisser visibles leurs coordonnées sur LinkedIn, la CNIL a relevé que la société conservait les coordonnées des utilisateurs pendant 5 ans à partir de chaque mise à jour des données, qui intervient généralement lorsqu’une personne change de poste ou d’employeur.

Or, pour les personnes qui changent de poste ou d’employeur avant 5 ans, la CNIL a relevé que ce renouvellement de la durée de conservation conduit à une conservation de leurs données pour une durée disproportionnée.

Un manquement à l’obligation de transparence et d’information des personnes (articles 12 et 14 du RGPD)

La société n’a commencé à informer les personnes concernées que leurs données personnelles avaient été collectées qu’en 2022, soit quatre ans après la mise en œuvre de l’extension KASPR. L’information se fait par un courriel en anglais, renvoyant vers un lien permettant de s’opposer au traitement.

Outre l’absence d’information des personnes sur la collecte de leurs données jusqu’en 2022, la CNIL a considéré que le fait d’adresser un courriel rédigé en anglais ne permettait pas une information transparente et compréhensible.

Un manquement à l’obligation de faire droit aux demandes d’exercice du droit d’accès (article 15 du RGPD)

Lorsque des personnes ayant fait l’objet de démarchage interrogeaient la société KASPR sur la manière dont leurs coordonnées avaient été obtenues, celle-ci se contentait de leur indiquer que leurs coordonnées avaient été collectées à partir de sources publiquement accessibles.

Après avoir rappelé que la société devait pouvoir indiquer « toute information disponible quant à la source » des données, la CNIL a estimé que même si la société était dans l’incapacité technique de préciser la source des données collectées pour chaque personne concernée, elle avait cependant connaissance d’une partie des sources qui alimentent sa base. Par ailleurs, ces sources étaient répertoriées dans sa politique de confidentialité.

La décision de la CNIL

La CNIL a prononcé une amende de 240 000 euros pour l’ensemble de ces manquements, et a enjoint à la société KASPR de :

• cesser de collecter les données des personnes ayant choisi de limiter la visibilité de leurs coordonnées, et de supprimer les données collectées de cette manière. À défaut, en cas d’impossibilité de distinguer les données dont la visibilité a été limitée, la société devra – dans un délai de 3 mois – informer les personnes concernées du traitement de leurs données et de la possibilité de s’y s’opposer, et de n’utiliser leurs données que dans ce but ;
   
• cesser le renouvellement automatique de la conservation des données personnelles des personnes cibles ;
   
• informer les personnes dont les données sont collectées dans une langue qu’elles maîtrisent ;
   
• faire suite aux demandes de droit d’accès des personnes en leur donnant toutes les informations dont elle dispose sur les sources de collecte des données.

La CNIL a assorti ces injonctions d’un délai de mise en conformité de six mois expirant le 18 juin 2025.

En rendant publique sa décision, la CNIL souligne la gravité de certains des manquements en cause, le nombre important de personnes concernées, et relève que la publicité de cette sanction permettra d’informer les personnes concernées par les traitements mis en œuvre par la société afin qu’elles puissent faire valoir leurs droits.