CNIL | SAN-2024-020 | 5 décembre 2024 | Affaire KASPR | ANALYSE CRITIQUE

LE MODÈLE KASPR : ASPIRATION INDUSTRIELLE DE COORDONNÉES PROFESSIONNELLES VIA LINKEDIN

La société KASPR développe et commercialise, depuis 2018, une extension pour le navigateur Chrome — accessible depuis le site kaspr.io — permettant à ses clients abonnés d’obtenir les coordonnées professionnelles (numéro de téléphone, adresse électronique) des personnes dont ils visitent le profil sur le réseau social LinkedIn. La finalité déclarée de ce service couvre la prospection commerciale, le recrutement et la vérification d’identité. L’accès aux coordonnées est monétisé via un système de crédits dépensés à chaque affichage, le volume de crédits disponibles étant déterminé par le prix de l’abonnement souscrit — mensuel ou annuel.

La formation restreinte identifie deux catégories distinctes de personnes concernées par les traitements mis en œuvre : d’une part, les personnes cibles, dont les coordonnées professionnelles ont été collectées à partir de diverses sources et versées dans la base de données KASPR ; d’autre part, les utilisateurs de l’extension, clients de la société dont l’abonnement permet de visiter les profils LinkedIn des personnes cibles afin d’en extraire les coordonnées. Cette distinction conceptuelle est fondamentale : elle conditionne la répartition des obligations d’information et la qualification des manquements retenus.

Les données collectées et traitées concernant les personnes cibles sont particulièrement étendues : nom, prénom, adresse de courriel, numéro de téléphone, URL des profils LinkedIn ou autres réseaux sociaux, employeur, intitulé du poste, compétences, intérêt professionnel, carrière, date d’embauche et de fin de poste, formation, lieu de travail, source de la donnée et date de collecte. Environ 160 millions de contacts figurent dans la base de données constituée par la société, dont un nombre précis de contacts localises au sein de l’Espace économique européen, à partir de l’adresse du lieu de travail comme critère géographique.

La société collecte ces données par trois canaux : des fournisseurs collectant eux-mêmes des données à partir de sources professionnelles publiquement accessibles (LinkedIn, Whois, GitHub) ; les annuaires des registres de noms de domaines ; et enfin — ce point est cardinal — l’import des contacts LinkedIn d’un utilisateur lors de l’activation de KASPR. Ce troisième mécanisme est au cœur du manquement à l’article 6 du RGPD : la synchronisation de l’extension avec le compte LinkedIn d’un abonné permet à KASPR de récupérer les coordonnées disponibles sur LinkedIn de ses contacts directs, y compris celles que ces contacts avaient délibérément choisi de ne pas rendre visibles à l’ensemble des visiteurs du réseau social.

---

---

LE MANQUEMENT À L’ARTICLE 6 DU RGPD : L’ILLICÉITÉ DE LA COLLECTE DES DONNÉES À VISIBILITÉ RESTREINTE

 

LA TRIPLE CONDITION DE L’INTÉRÊT LÉGITIME MISE EN DÉFAUT

Le rapporteur fonde le grief d’illicéité exclusivement sur les données collectées via le réseau social LinkedIn lorsque les personnes cibles ont choisi de restreindre l’affichage de leurs coordonnées — à savoir les données rendues visibles aux seules relations de 1er niveau ou de 1er et 2e niveaux — et non sur les autres sources de collecte. Il écarte ainsi les données provenant de sources véritablement publiques.

La formation restreinte rappelle que le recours à la base légale de l’intérêt légitime (article 6, §1, f du RGPD) est soumis à trois conditions cumulatives : l’intérêt poursuivi doit être légitime ; il doit être nécessaire de traiter les données aux fins de cet intérêt ; et le traitement ne doit pas heurter les droits et intérêts des personnes concernées, compte tenu de leurs attentes raisonnables. Le considérant 47 du RGPD précise qu’un tel intérêt légitime pourrait exister lorsqu’il existe une relation pertinente et appropriée entre la personne concernée et le responsable du traitement.

La formation restreinte concède que l’intérêt commercial poursuivi par KASPR peut être qualifié de légitime, en ce qu’il est consubstantiel à son modèle économique, et que cet intérêt peut s’étendre aux clients de la société. Elle valide ainsi partiellement le premier critère du triptyque. Cependant, l’analyse s’arrête au second critère, celui de la mise en balance des intérêts.

LA LIBERTÉ DE CHOIX COMME FORME D’OPPOSITION ANTICIPÉE

Le raisonnement central de la formation restreinte repose sur une proposition d’une grande rigueur logique : dès lors que les personnes font usage de leur liberté de choix en restreignant la visibilité de leurs données personnelles, ce choix s’impose nécessairement aux tiers. Ainsi, si un professionnel inscrit sur LinkedIn choisit de limiter la visibilité de ses coordonnées à ses seules relations de premier ou second niveau, il ne peut être soutenu que la collecte de ces données par KASPR figure au titre de ses attentes raisonnables.

La formation restreinte va plus loin : elle considère que le fait pour les personnes cibles d’avoir choisi de masquer leurs coordonnées équivaut à une forme d’opposition, corollaire indispensable du fondement de l’intérêt légitime, laquelle doit être prise en compte par la société — qui n’a donc pas d’intérêt légitime pour collecter les coordonnées masquées. Cette qualification de l’inaction dans la configuration des paramètres de confidentialité comme une forme d’opposition active est particulièrement notable : elle constitue une interprétation extensive du droit d’opposition, tendant à neutraliser l’argumentaire des opérateurs qui se prévaudraient de la passivité des personnes concernées.

La formation restreinte observe également que si les personnes avaient réellement souhaité que leurs coordonnées apparaissent à tous, elles auraient activé l’option permettant une visibilité universelle. Elle cite par ailleurs la politique de confidentialité de LinkedIn elle-même, qui énonce que « les données sont visibles par d’autres personnes selon vos préférences » — confirmant ainsi que la plateforme source garantit elle-même le respect des paramétrages choisis par ses utilisateurs.

L’ABSENCE DE RELATION PERTINENTE AVEC LE RESPONSABLE DE TRAITEMENT

La formation restreinte relève en outre qu’aucune relation pertinente et appropriée au sens du considérant 47 du RGPD ne lie les personnes cibles à la société KASPR : elles ne sont pas utilisatrices de l’extension KASPR, mais simplement des contacts des clients de KASPR qui utilisent l’extension. Cette absence de lien direct rompt le fondement même de l’intérêt légitime, qui suppose une relation préexistante entre le responsable du traitement et la personne concernée.

La société avait soutenu en défense que les utilisateurs de LinkedIn s’y inscrivent pour bénéficier d’une mise en relation avec d’autres professionnels, et que la nécessité de vérification d’identité relève des attentes raisonnables des professionnels. Elle invoquait également une publication CNIL du 18 mai 2009 sur la prospection B2B, indiquant que la prospection vers les professionnels peut être fondée sur l’intérêt légitime. La formation restreinte écarte ces arguments : d’une part, parce que la publication de 2009 ne saurait prévaloir sur le RGPD ; d’autre part, parce que la circonstance que les données en cause soient exclusivement des coordonnées professionnelles demeure sans incidence sur leur caractère personnel, conformément à la jurisprudence bien établie de la CJUE (CJUE, 9 novembre 2010, Volker e.a., C-92/09 et C-93/09, point 59).

L’absence de base légale valable est ainsi fermement établie pour la collecte des données des utilisateurs LinkedIn ayant restreint la visibilité de leurs coordonnées. Le consentement, le contrat, l’obligation légale, la sauvegarde des intérêts vitaux ou l’exécution d’une mission d’intérêt public sont successivement écartés comme fondements alternatifs.

---

---

LE MANQUEMENT À L’ARTICLE 5-1-E DU RGPD : L’INADÉQUATION STRUCTURELLE DE LA POLITIQUE DE CONSERVATION

 

LA DISTINCTION ENTRE CLIENTS DE KASPR ET PERSONNES CIBLES

La formation restreinte opère une distinction méthodologique rigoureuse. S’agissant des clients de KASPR, elle relève que la politique de confidentialité en vigueur au jour du contrôle mentionnait une conservation des données à des fins de prospection commerciale jusqu’à opposition de l’intéressé — soit une conservation potentiellement illimitée. Elle observe toutefois que la société a produit des documents internes montrant qu’elle appliquait en pratique une durée de conservation de trois ans à compter de la fin de la relation commerciale, avec purge des données parvenues à ce terme. Au vu de ces éléments, la formation restreinte juge qu’aucun manquement à l’article 5-1-e n’est constitué pour les clients de KASPR : la pratique réelle divergeait de la politique de confidentialité affichée, et cette pratique était conforme.

S’agissant des personnes cibles, le raisonnement est radicalement différent. La société n’avait, au jour du contrôle du 28 juillet 2022, défini aucune politique de conservation formalisée — quatre ans après la création de l’extension en 2018. Ce n’est qu’en 2021 que la société a commencé à réfléchir à sa politique de conservation, et ce n’est qu’au cours de la procédure contradictoire que celle-ci a été précisée.

LA CONSERVATION DYNAMIQUE AUTOMATIQUE COMME MANQUEMENT STRUCTUREL

La politique de conservation adoptée postérieurement au contrôle prévoyait une durée de conservation de cinq ans à compter de chaque mise à jour des données, laquelle intervient généralement lorsqu’une personne change de poste ou d’employeur. La formation restreinte identifie ici le vice fondamental : pour les personnes qui changent de poste ou d’employeur dans un intervalle inférieur à cinq ans, ce renouvellement automatique de la durée de conservation conduit à une conservation dont la durée effective peut excéder cinq ans — et ce, indéfiniment, tant que la personne continue à changer d’employeur ou à voir ses données mises à jour.

Ce mécanisme dit de « conservation dynamique par automaticité » est qualifié d’incompatible avec le principe de conservation proportionnée. La formation restreinte souligne à cet égard une particularité structurelle du traitement mis en œuvre par KASPR : contrairement aux personnes qui auraient créé un compte en ligne et pour lesquelles il est possible de déterminer le moment où elles sont devenues inactives, il est par nature impossible de déterminer un tel moment pour les personnes cibles, qui n’ont jamais demandé à figurer dans la base de données et n’entretiennent aucune relation avec le responsable de traitement.

La formation restreinte souligne que les personnes cibles sont passives vis-à-vis du traitement et captives de celui-ci : elles ne font pas le choix d’être intégrées dans la base de données et ne peuvent s’en extraire que si elles ont la chance de recevoir le courriel d’information et de décider de s’y opposer activement. Dans les cas où elles ne s’opposeraient pas à la réception de ce message, la société conserverait leurs données indéfiniment.

---

---

LES MANQUEMENTS AUX ARTICLES 12 ET 14 DU RGPD : L’OPACITÉ SYSTÉMIQUE DE L’INFORMATION DES PERSONNES CIBLES

 

QUATRE ANNÉES D’ABSENCE TOTALE D’INFORMATION

La formation restreinte retient un manquement caractérisé à l’obligation d’information des personnes dont les données ont été collectées indirectement (article 14 du RGPD). Elle relève que les données des personnes cibles ont été collectées et traitées pendant près de quatre ans (de 2018 à mai 2022) sans qu’aucune information ne leur ait été transmise par la société — alors que KASPR disposait d’emblée des adresses électroniques de ces personnes, qui constituent précisément les données collectées.

La formation restreinte écarte l’argument de la société selon lequel l’information aurait été assurée par l’intermédiaire des politiques de confidentialité de LinkedIn et de KASPR : les lignes directrices du groupe de travail Article 29 sur la transparence (29 novembre 2017, révisées le 11 avril 2018) insistent précisément sur le fait que « la personne concernée ne doit pas avoir à chercher activement les informations » et que le responsable de traitement doit prendre des mesures concrètes pour fournir ces informations ou diriger activement la personne vers leur emplacement.

L’OBSTACLE LINGUISTIQUE COMME VIOLATION DE LA TRANSPARENCE

Dès mai 2022, la société a mis en place une campagne d’information par courriel. Toutefois, ce courriel est rédigé exclusivement en langue anglaise. La société argüait que l’extension KASPR est utilisée par un public de professionnels pour lesquels l’anglais peut être considéré comme couramment utilisé au sein de l’Union européenne. La formation restreinte rejette cet argument : l’article 12 du RGPD impose que les informations soient fournies dans des termes clairs et simples, accessibles à la personne concernée. Or, les personnes cibles — à la différence des utilisateurs de l’extension — ne se sont pas inscrites à un service professionnel, et leur maîtrise de la langue anglaise ne peut être présumée.

La formation restreinte précise par ailleurs que ce manquement aux articles 12 et 14 ne concerne pas les personnes dont les données ont été collectées de façon illicite (§§ 40-50 de la délibération) : pour celles-là, l’obligation d’information est « sans objet » dès lors que la collecte elle-même était irrégulière. Elle souligne néanmoins que si la société procédait à cette collecte qu’elle considérait à tort comme licite, elle n’informait pas non plus ces personnes.

---

---

LE MANQUEMENT À L’ARTICLE 15 DU RGPD : L’INSUFFISANCE DES RÉPONSES AUX DEMANDES D’ACCÈS

 

L’OPACITÉ SUR LES SOURCES DE COLLECTE

Plusieurs plaignants ayant fait l’objet de démarchage commercial ont interrogé KASPR sur la manière dont leurs coordonnées avaient été obtenues. La société se contentait de leur indiquer que leurs coordonnées avaient été collectées à partir de sources publiquement accessibles — formule générique qui ne répond pas aux exigences de l’article 15 du RGPD, lequel impose notamment de communiquer à la personne concernée « toute information disponible quant à la source des données ».

La formation restreinte retient un manquement en soulignant que, même si la société était dans l’incapacité technique de préciser, pour chaque individu, la source précise de collecte, elle avait néanmoins connaissance d’une partie des sources alimentant sa base de données. La délégation de contrôle avait d’ailleurs été informée de trois sources principales (fournisseurs de données à partir de LinkedIn, Whois et GitHub). Or, la politique de confidentialité en vigueur se contentait de viser de manière vague « des sources publiques, des annuaires professionnels et nos partenaires ponctuellement ». La formation restreinte considère que cette imprécision délibérée ne satisfait pas l’obligation de transparence : dès lors que KASPR a connaissance des différentes sources précises, il lui appartient de les renseigner.

La formation restreinte rappelle que le droit d’accès a pour objectif de permettre à la personne concernée de prendre connaissance du traitement de ses données et d’en vérifier la licéité (délibération n° SAN-2022-022 du 30 novembre 2022), et que l’exercice de ce droit suppose donc que les informations fournies soient les plus précises possibles.

LES ARGUMENTS DE DÉFENSE ÉCARTÉS

En défense, la société avait soutenu que la prise en compte de plaintes postérieures au contrôle sur audition portait atteinte aux droits de la défense. La formation restreinte écarte cet argument : la société a disposé du temps et des facilités nécessaires pour produire tout élément de nature à démontrer la manière dont ces plaintes avaient été traitées. Elle considère qu’aucune atteinte aux droits de la défense n’est constituée, les manquements étant antérieurs au prononcé de la sanction.

---

---

LA DÉFENSE DE LA SOCIÉTÉ : ARGUMENTS ET RÉFUTATIONS SYSTÉMATIQUES

 

La société a développé plusieurs lignes de défense d’une certaine cohérence interne, dont aucune n’a été retenue.

Sur la base légale, outre l’argument relatif à l’intérêt légitime B2B analysé supra, la société invoquait l’adéquation de sa collecte avec les paramètres choisis par les utilisateurs LinkedIn — soutenant ne collecter les données que lorsque ceux-ci avaient rendu leurs coordonnées visibles par leurs relations de 1er et 2e niveaux, à l’exclusion des utilisateurs ayant choisi l’option « uniquement visible par moi ». La formation restreinte écarte cette nuance : le manquement vise précisément les personnes ayant choisi les options 3 (relations de 1er niveau) et 4 (relations de 1er et 2e niveaux), pour lesquelles la restriction de visibilité est délibérée et s’impose à KASPR.

Sur la durée de conservation, la société faisait valoir que la conservation de cinq ans à compter de chaque mise à jour était au cœur même de son service et constituait sa raison d’être économique. La formation restreinte rejette cet argument au nom de la proportionnalité : le modèle économique d’une société ne peut prévaloir sur les droits fondamentaux des personnes concernées qui n’ont pas demandé à figurer dans la base de données.

Sur la transparence, la société invoquait l’utilisation professionnelle de l’extension comme justification de l’usage exclusif de l’anglais. La formation restreinte juge cet argument inopérant, les personnes cibles n’étant pas des professionnels ayant adhéré à un service en anglais, mais des individus dont les données ont été collectées à leur insu.

Sur la légitimité globale du traitement et l’opportunité d’une sanction, la société a soutenu que son traitement était légitime, que les manquements allégués n’étaient pas constitués, et que les mesures de mise en conformité déployées antérieurement au prononcé de la sanction devaient être prises en compte comme facteur atténuant. Elle a également contesté la proposition d’injonction comme dénuée d’objet, et la publicité de la sanction comme contre-productive à l’égard d’une société engagée dans une démarche de conformité.

La formation restreinte rappelle, sur ce dernier point, que les mesures de mise en conformité prises en cours de procédure n’effacent pas les manquements passés et constatés, et qu’une faute peut découler non seulement d’un comportement délibéré mais également d’une négligence (CJUE, Grande Chambre, 5 décembre 2023, Deutsche Wohnen SE e.a., C-807/21 ; CJUE, Grande Chambre, 5 décembre 2023, Nacionalinis visuomenės sveikatos centras, C-683/21).

---

---

LE MÉCANISME DE COHÉRENCE EUROPÉEN : L’INTERPRÉTATION EXTENSIVE DE LA COMPÉTENCE DE L’AUTORITÉ CHEF DE FILE

 

L’affaire KASPR offre à la formation restreinte l’occasion de trancher une question de compétence internationale d’une portée notable. La CNIL a notifié aux autorités de contrôle européennes sa compétence d’autorité chef de file le 19 septembre 2023, sur le fondement de l’article 56 du RGPD — l’établissement unique de KASPR se trouvant en France. Le projet de décision a été transmis le 5 novembre 2024 aux autorités concernées. Au 4 décembre 2024, aucune objection pertinente et motivée n’avait été formulée, rendant applicables les dispositions de l’article 60, §6 du RGPD (approbation présumée).

La société avait contesté la compétence de la CNIL pour se prononcer, en tant qu’autorité chef de file, sur les traitements concernant des personnes situées en Hongrie, en Suède et dans le land de Saxe, ces autorités s’étant déclarées non concernées. Elle invoquait par ailleurs l’arrêt CJUE du 24 septembre 2019 (Google, C-507/17) sur le droit au déréférencement pour soutenir que le RGPD ne pouvait produire d’effet que sur le territoire de l’Union européenne, et donc que les personnes localisées hors de l’UE ne devaient pas être comptabilisées dans l’évaluation du nombre de personnes concernées.

La formation restreinte écarte ces deux arguments. Sur le premier point, elle distingue la déclaration de non-concernement d’une autorité lors de la notification initiale prévue à l’article 56 du RGPD (formulaire « Identification of LSA and CSA ») — qui n’a pour objet que d’informer les autres autorités de l’ouverture d’un dossier — et la détermination de la qualité d’autorité concernée, qui est commandée par la présence effective de données personnelles de ressortissants de l’État membre concerné dans la base de données contrôlée. Sur le second point, la formation restreinte souligne la différence fondamentale de situation : dans l’arrêt Google sur le déréférencement, était en jeu le droit à l’information de personnes tierces au traitement situées hors de l’UE ; en l’espèce, les personnes hors UE voient leurs données traitées par KASPR, qui est soumise au RGPD en raison de son établissement sur le territoire de l’Union.

Cette distinction, rigoureusement argumentée, conforte une lecture extra-territoriale du RGPD cohérente avec son article 3, §1 : le responsable de traitement établi dans l’Union est tenu de respecter le règlement à l’égard de toutes les personnes dont il traite les données, sans distinction de localisation géographique.

---

---

APPRÉCIATION CRITIQUE DE LA DÉLIBÉRATION

 

LA CONSÉCRATION DOCTRINALE DU “DROIT À L’OBSCURITÉ NUMÉRIQUE” PROFESSIONNELLE

La délibération SAN-2024-020 constitue une décision structurante dans la régulation des modèles économiques fondés sur l’aspiration de données à des fins B2B. En qualifiant l’exercice d’un paramétrage restrictif de confidentialité d’une forme d’opposition anticipée au sens de l’intérêt légitime, la formation restreinte reconnaît implicitement l’existence d’un droit à l’obscurité numérique partielle : le professionnel qui restreint la visibilité de ses coordonnées au sein d’un réseau social professionnel est en droit d’attendre que cette restriction soit respectée par des tiers, fussent-ils des prestataires de services B2B.

Cette position s’inscrit dans un mouvement jurisprudentiel cohérent avec les attendus de l’arrêt CJUE du 4 octobre 2024 (Lindenapotheke, C-21/23), qui confirme la portée large du droit au respect de la vie privée y compris dans le champ professionnel, et avec les lignes directrices du CEPD sur les bases légales.

LA LIMITE NON TRANCHÉE : LA FRONTIÈRE ENTRE DONNÉES VÉRITABLEMENT PUBLIQUES ET DONNÉES À VISIBILITÉ RESTREINTE

La formation restreinte prend soin de circonscrire le manquement à l’article 6 aux seules données collectées via l’import des contacts LinkedIn, à l’exclusion des données provenant d’autres sources (registres Whois, GitHub, fournisseurs de données). Cette délimitation soulève une question que la décision laisse partiellement ouverte : à partir de quel moment une donnée accessiblevia un réseau social cesse-t-elle d’être « véritablement publique » ? La réponse implicite de la formation restreinte — la donnée cesse d’être publique dès lors que la personne a activement restreint sa visibilité — est cohérente mais ne tranche pas le cas des données rendues visibles par défaut, sans choix actif de l’utilisateur.

LE STATUT DES PERSONNES CIBLES COMME RÉVÉLATEUR D’UN VIDE JURIDIQUE

La délibération met en lumière une lacune structurelle du droit européen des données personnelles à l’égard des personnes qui figurent dans des bases de données tierces sans jamais avoir eu de relation avec le responsable de traitement. Ces personnes ne sont ni des utilisateurs, ni des clients, ni des contractants : elles sont simplement des individus dont les données ont été aspirées et commercialisées. Le traitement applicable — en particulier l’obligation d’information de l’article 14 et les modalités d’exercice du droit d’opposition — est théoriquement prévu par le RGPD, mais son effectivité reste fragile tant que les responsables de traitement peuvent arguer de l’impossibilité pratique d’identifier la source précise des données.

---

 
 
 

---

POINTS ESSENTIELS

---

La délibération n° SAN-2024-020 du 5 décembre 2024, par laquelle la formation restreinte de la CNIL prononce une amende de 240 000 euros à l’encontre de la société KASPR — éditrice d’une extension Chrome permettant d’accéder depuis LinkedIn aux coordonnées professionnelles de personnes physiques tierces —, constitue un arrêt de principe sur les conditions de licéité du data scraping à des fins de prospection commerciale B2B, dont la portée dépasse largement la seule situation de l’espèce.

La formation restreinte y affirme, avec une rigueur doctrinale remarquable, que la présence d’une donnée personnelle sur un réseau social professionnel ne confère pas à un tiers le droit de la collecter et de la commercialiser : le paramétrage de confidentialité choisi par son titulaire constitue une manifestation de volonté juridiquement opposable, qui fait obstacle à l’invocation de l’intérêt légitime prévu par l’article 6, § 1, f) du RGPD dès lors que les droits et attentes légitimes de la personne prévalent sur les intérêts commerciaux du responsable du traitement. En outre, la délibération sanctionne avec une sévérité particulière le mécanisme de renouvellement automatique de la durée de conservation lors des mises à jour des données — pratique par laquelle KASPR contournait de facto le principe de limitation consacré par l’article 5, § 1, e) du RGPD —, ainsi que l’absence totale d’information des personnes concernées pendant quatre années suivant la mise en œuvre de l’extension (2018-2022), en violation flagrante du délai impératif d’un mois fixé par l’article 14 du RGPD pour les collectes indirectes ; la Commission ajoute à ce constat que l’information délivrée à partir de 2022, rédigée en langue anglaise, ne satisfaisait pas à l’exigence de compréhensibilité posée par l’article 12 du RGPD à l’égard de personnes dont la langue maternelle est le français. Enfin, en retenant le manquement à l’article 15 du RGPD pour avoir répondu aux demandes d’accès par une formule générique renvoyant à « des sources publiquement accessibles », alors même que la politique de confidentialité de la société en listait précisément les sources, la formation restreinte impose un principe de cohérence documentaire aux responsables du traitement : on ne saurait être plus précis dans ses déclarations publiques que dans ses réponses aux demandes individuelles.

Prononcée deux ans après la décision d’incompétence rendue dans l’affaire LUSHA (SAN-2022-024), la délibération KASPR vient combler le vide jurisprudentiel créé par cette décision et poser, pour la première fois, un corpus de règles précises et contraignantes applicables aux acteurs européens du scraping de données professionnelles — corpus que la jurisprudence postérieure (SOLOCAL, SAN-2025-001 ; CALOGA, SAN-2025-002) confirme et amplifie, consacrant une ligne sanctionnatrice désormais pleinement stabilisée qui fait peser sur l’ensemble des opérateurs du secteur une obligation de conformité immédiate et sans réserve.