CNIL | SAN-2024-020 | 5 décembre 2024 | Affaire KASPR | FAQ

---

À L’ATTENTION DES RESPONSABLES DE TRAITEMENT

 

---

Q1 — Mon entreprise collecte des données professionnelles depuis LinkedIn pour constituer un fichier de prospection B2B. Cela est-il légal au regard de la délibération KASPR ?

La réponse dépend des conditions précises dans lesquelles cette collecte est opérée. La délibération SAN-2024-020 pose un principe cardinal : la visibilité d’une donnée sur LinkedIn ne signifie pas que cette donnée est librement collectible et commercialisable par des tiers. La formation restreinte distingue les personnes ayant rendu leurs coordonnées visibles sans restriction, pour lesquelles le traitement peut potentiellement être fondé sur l’intérêt légitime, et celles ayant activement paramétré leur profil pour limiter cette visibilité, pour lesquelles la collecte ne peut reposer sur ce fondement. Toute entreprise procédant à du scraping LinkedIn doit donc disposer d’un mécanisme technique lui permettant d’identifier et d’exclure les personnes ayant restreint la visibilité de leurs données, et de supprimer celles déjà collectées en méconnaissance de ce paramètre.

En pratique, cette exigence est particulièrement contraignante car l’API de LinkedIn ne fournit pas nativement de métadonnées de confidentialité aux tiers. Le responsable du traitement devra soit démontrer que sa méthode de collecte respecte ces paramètres, soit renoncer à la collecte automatisée depuis LinkedIn pour se tourner vers des sources dont le cadre de collecte initial est documenté et légalement irréprochable.

---

Q2 — Peut-on invoquer l’intérêt légitime comme base légale pour la collecte de coordonnées professionnelles à des fins de prospection B2B ?

L’intérêt légitime de l’article 6, §1, f) du RGPD peut théoriquement fonder un traitement de données professionnelles à des fins de prospection B2B, mais il est soumis à un test de mise en balance rigoureux. Ce test exige de vérifier que les droits et intérêts de la personne concernée ne prévalent pas sur l’intérêt du responsable du traitement. La délibération KASPR enseigne que ce test échoue systématiquement dès lors que la personne a manifesté — même implicitement, par le choix de ses paramètres de confidentialité — qu’elle ne souhaite pas voir ses données utilisées à ces fins.

Par ailleurs, le recours à l’intérêt légitime impose la réalisation d’un test LIA (Legitimate Interests Assessment) documenté et archivé. Ce test doit prendre en compte la nature des données, le contexte de leur collecte, les attentes raisonnables des personnes, et la proportionnalité du traitement. L’absence d’un tel document expose le responsable du traitement à un manquement à l’obligation de démonstration (article 5, §2, du RGPD).

---

Q3 — Quelles durées de conservation sont-elles admissibles pour des données de prospection commerciale B2B ?

La délibération KASPR ne fixe pas de durée normative impérative, mais elle invalide le mécanisme par lequel la durée de conservation est réinitialisée à chaque mise à jour de la donnée. Le responsable du traitement doit fixer une durée de conservation proportionnée à la finalité du traitement, calculée à compter de la collecte initiale ou d’un événement objectif préalablement défini (fin de la relation commerciale, par exemple), et non en fonction des comportements individuels des personnes.

La pratique sectorielle retient généralement une durée de trois à cinq ans à compter du dernier contact actif avec le prospect, ce qui est considéré comme proportionné à la finalité de prospection commerciale. Au-delà, la conservation ne peut être justifiée que par une autre finalité documentée (obligation légale de conservation comptable, par exemple). Toute prolongation automatique de cette durée, quelle qu’en soit la justification technique, est susceptible d’être qualifiée de manquement à l’article 5, §1, point e) du RGPD.

---

Q4 — Dans quel délai doit-on informer les personnes concernées lorsque leurs données ont été collectées indirectement ?

L’article 14 du RGPD est explicite : l’information doit être fournie « dans un délai raisonnable après avoir obtenu les données à caractère personnel, mais ne dépassant pas *un mois ». Ce délai d’un mois est un *plafond impératif, non une indication de délai raisonnable. Il s’impose dès la collecte initiale, sans attendre que la personne prenne elle-même contact ou exerce ses droits. Le non-respect de ce délai est constitutif en lui-même d’un manquement à l’article 14, indépendamment de toute information délivrée ultérieurement.

La délibération KASPR illustre les conséquences concrètes d’un retard de quatre années : la formation restreinte l’a analysé comme une violation grave et durable qui a pesé de façon significative dans l’appréciation de la gravité des manquements et, partant, dans la détermination du montant de l’amende. L’absence d’information pendant une telle durée prive les personnes concernées de la possibilité d’exercer leurs droits (opposition, effacement) et constitue une atteinte continue à leurs libertés fondamentales.

---

Q5 — Dans quelle langue doit-on informer les personnes concernées ?

L’article 12 du RGPD exige que l’information soit délivrée « en des termes clairs et simples » et soit « compréhensible » pour son destinataire. La délibération KASPR précise que cette exigence de compréhensibilité implique d’adapter la langue de communication au profil linguistique effectif des personnes concernées. Envoyer un courriel d’information en anglais à des personnes identifiées comme françaises — parce que présentes sur LinkedIn France ou parce que leurs données ont été collectées dans un contexte français — ne satisfait pas à cette exigence.

En pratique, tout responsable du traitement dont la base de données comporte des personnes de nationalités ou de langues différentes doit segmenter ses communications et adresser à chaque groupe une information dans sa langue. L’utilisation d’une langue étrangère, même largement répandue dans un contexte professionnel, ne saurait valablement se substituer à l’usage de la langue maternelle des destinataires dans le cadre d’une communication portant sur leurs droits fondamentaux en matière de protection des données.

---

Q6 — Que doit-on répondre à une personne qui exerce son droit d’accès et demande l’origine de ses données ?

L’article 15 du RGPD impose de communiquer « toute information disponible quant à la source » des données. La délibération KASPR précise que le responsable du traitement ne peut pas se retrancher derrière une prétendue incapacité technique à retracer la source de chaque donnée individuelle s’il dispose par ailleurs, dans d’autres documents (politique de confidentialité, registre des activités de traitement), de la liste des sources alimentant sa base. La cohérence entre les déclarations publiques et les réponses individuelles est impérative.

La réponse à une demande d’accès doit donc mentionner, de manière substantielle et précise, les sources dont le responsable du traitement a connaissance. Une réponse générique du type « données collectées auprès de sources publiquement accessibles » est insuffisante dès lors que le responsable du traitement est en mesure d’être plus précis. La réponse doit être apportée dans le délai d’un mois prévu par l’article 12 du RGPD, ce délai pouvant être prolongé de deux mois en cas de demandes nombreuses ou complexes, moyennant information préalable de la personne.

---

Q7 — L’injonction prononcée à l’encontre de KASPR impliquait-elle de supprimer des données déjà collectées ? Quelle est la portée de cette obligation pour d’autres responsables du traitement ?

Oui. La formation restreinte a prononcé une injonction de suppression des données déjà collectées en violation des paramètres de confidentialité des personnes concernées. Cette obligation n’est pas propre à l’affaire KASPR : elle découle directement de l’article 17 du RGPD (droit à l’effacement) et de l’obligation de licéité du traitement. Dès lors que la collecte initiale était dépourvue de base légale, toute conservation ultérieure est elle aussi illicite.

Pour les responsables du traitement qui seraient dans une situation similaire, la délibération KASPR constitue un avertissement clair : la régularisation ne peut pas consister uniquement à cesser de nouvelles collectes irrégulières ; elle impose également de purger la base des données déjà collectées sans fondement légal valable. L’absence de purge expose le responsable du traitement à une astreinte journalière, comme le prévoit le dispositif de la délibération.

---

Q8 — Quelles sont les obligations spécifiques des opérateurs de type « extension navigateur » collectant des données depuis des réseaux sociaux ?

La délibération KASPR s’adresse particulièrement aux opérateurs développant des outils techniques — extensions de navigateur, API tierces, plugins — permettant à leurs utilisateurs d’accéder à des données personnelles aspirées depuis des réseaux sociaux. Ces opérateurs ne bénéficient d’aucune immunité particulière : ils sont, au même titre que tout responsable du traitement, soumis à l’ensemble des obligations du RGPD.

Ils doivent en particulier : (i) s’assurer que leur méthode de collecte respecte les paramètres de confidentialité des personnes concernées ; (ii) informer ces personnes dans le délai d’un mois et dans une langue compréhensible ; (iii) définir et appliquer des durées de conservation strictement proportionnées ; (iv) répondre substantiellement aux demandes d’exercice des droits. Le fait que la collecte soit automatisée et de masse ne constitue pas une circonstance atténuante — au contraire, elle tend à aggraver la portée des manquements en multipliant le nombre de personnes affectées.

---

---

À L’ATTENTION DES PERSONNES CONCERNÉES

 

---

Q9 — Comment savoir si mes coordonnées professionnelles figurent dans une base de données de type KASPR ?

Il n’existe pas de registre public des bases de données de prospection commerciale. Toutefois, plusieurs indices permettent de suspecter que vos coordonnées ont été collectées et commercialisées : la réception de sollicitations commerciales non sollicitées émanant d’entreprises avec lesquelles vous n’avez jamais eu de relation, ou la mention explicite que vos coordonnées ont été obtenues via une « source professionnelle » ou un « outil de prospection ».

Dans ce cas, vous avez le droit d’exercer votre droit d’accès (article 15 du RGPD) auprès de l’expéditeur pour lui demander l’origine de vos données, et votre droit d’opposition (article 21 du RGPD) pour vous opposer à l’utilisation de vos données à des fins de prospection. Si l’expéditeur ne répond pas ou refuse de communiquer l’origine de vos données, vous pouvez déposer une plainte auprès de la CNIL.

---

Q10 — Mes paramètres de confidentialité sur LinkedIn me protègent-ils contre le scraping ?

La délibération KASPR reconnaît une portée juridique aux paramètres de confidentialité choisis sur LinkedIn : limiter la visibilité de ses coordonnées constitue une manifestation de volonté qui fait obstacle à la licéité d’une collecte par des tiers sur la base de l’intérêt légitime. En ce sens, restreindre la visibilité de ses coordonnées sur LinkedIn contribue à protéger ses données contre les pratiques de scraping commercial.

Il convient toutefois de souligner que cette protection est juridique et non technique : rien n’empêche techniquement un opérateur malhonnête de collecter malgré ces paramètres. La décision KASPR illustre que la CNIL sanctionne effectivement ces pratiques, ce qui constitue un signal dissuasif important pour les acteurs du secteur. Il est recommandé de vérifier régulièrement ses paramètres de confidentialité, de limiter la visibilité de ses coordonnées directes aux seuls membres de son réseau, et d’activer les options limitant l’utilisation de son profil par des tiers.

---

Q11 — J’ai reçu un courriel de KASPR (ou d’une société similaire) m’informant que mes données sont traitées. Que dois-je faire ?

La réception d’un tel courriel — même s’il est rédigé en anglais — est l’indication que vos données figurent dans la base de la société expéditrice. Vous disposez des droits suivants, que vous pouvez exercer directement auprès de la société :

Le droit d’accès (article 15 du RGPD), qui vous permet d’obtenir la liste des données traitées, leur source, la durée de conservation, et les destinataires. Le droit d’opposition (article 21 du RGPD), qui vous permet de vous opposer à tout moment à l’utilisation de vos données à des fins de prospection commerciale ; cet exercice est sans condition et la société est tenue de cesser le traitement. Le droit à l’effacement (article 17 du RGPD), qui vous permet de demander la suppression de vos données, notamment lorsque le traitement est illicite ou lorsque vous retirez votre consentement.

Votre demande doit être formulée par écrit (courriel ou courrier recommandé) et la société dispose d’un mois pour y répondre. En cas d’absence de réponse ou de réponse insatisfaisante, vous pouvez saisir la CNIL via son service en ligne PLAINTE EN LIGNE.

---

Q12 — La CNIL a-t-elle prononcé d’autres sanctions contre des entreprises similaires à KASPR ? Suis-je protégé contre ces pratiques ?

Oui. La CNIL a développé une jurisprudence constante et croissante à l’encontre des acteurs du scraping et du courtage de données. La délibération SAN-2023-025 (TAGADAMEDIA) du 29 décembre 2023 a sanctionné un courtier en données pour absence de base légale. La délibération SAN-2024-004 (HUBSIDE.STORE) du 4 avril 2024 a sanctionné un opérateur pour violation de l’article 14 du RGPD. La délibération SAN-2025-001 (SOLOCAL MARKETING SERVICES) du 15 mai 2025 a confirmé et amplifié cette ligne, avec une amende de 900 000 euros. Cette progression confirme que la CNIL exerce une surveillance active et croissante de ce secteur, et que les personnes concernées bénéficient d’une protection effective croissante.

En cas de sollicitation commerciale non souhaitée, n’hésitez pas à demander l’origine de vos données et à exercer votre droit d’opposition : ces démarches sont simples, sans frais, et constituent le premier niveau de protection individuelle contre ces pratiques.

---

 
 
 

---

POINTS ESSENTIELS

---

La délibération n° SAN-2024-020 du 5 décembre 2024, par laquelle la formation restreinte de la CNIL prononce une amende de 240 000 euros à l’encontre de la société KASPR — éditrice d’une extension Chrome permettant d’accéder depuis LinkedIn aux coordonnées professionnelles de personnes physiques tierces —, constitue un arrêt de principe sur les conditions de licéité du data scraping à des fins de prospection commerciale B2B, dont la portée dépasse largement la seule situation de l’espèce.

La formation restreinte y affirme, avec une rigueur doctrinale remarquable, que la présence d’une donnée personnelle sur un réseau social professionnel ne confère pas à un tiers le droit de la collecter et de la commercialiser : le paramétrage de confidentialité choisi par son titulaire constitue une manifestation de volonté juridiquement opposable, qui fait obstacle à l’invocation de l’intérêt légitime prévu par l’article 6, § 1, f) du RGPD dès lors que les droits et attentes légitimes de la personne prévalent sur les intérêts commerciaux du responsable du traitement. En outre, la délibération sanctionne avec une sévérité particulière le mécanisme de renouvellement automatique de la durée de conservation lors des mises à jour des données — pratique par laquelle KASPR contournait de facto le principe de limitation consacré par l’article 5, § 1, e) du RGPD —, ainsi que l’absence totale d’information des personnes concernées pendant quatre années suivant la mise en œuvre de l’extension (2018-2022), en violation flagrante du délai impératif d’un mois fixé par l’article 14 du RGPD pour les collectes indirectes ; la Commission ajoute à ce constat que l’information délivrée à partir de 2022, rédigée en langue anglaise, ne satisfaisait pas à l’exigence de compréhensibilité posée par l’article 12 du RGPD à l’égard de personnes dont la langue maternelle est le français. Enfin, en retenant le manquement à l’article 15 du RGPD pour avoir répondu aux demandes d’accès par une formule générique renvoyant à « des sources publiquement accessibles », alors même que la politique de confidentialité de la société en listait précisément les sources, la formation restreinte impose un principe de cohérence documentaire aux responsables du traitement : on ne saurait être plus précis dans ses déclarations publiques que dans ses réponses aux demandes individuelles.

Prononcée deux ans après la décision d’incompétence rendue dans l’affaire LUSHA (SAN-2022-024), la délibération KASPR vient combler le vide jurisprudentiel créé par cette décision et poser, pour la première fois, un corpus de règles précises et contraignantes applicables aux acteurs européens du scraping de données professionnelles — corpus que la jurisprudence postérieure (SOLOCAL, SAN-2025-001 ; CALOGA, SAN-2025-002) confirme et amplifie, consacrant une ligne sanctionnatrice désormais pleinement stabilisée qui fait peser sur l’ensemble des opérateurs du secteur une obligation de conformité immédiate et sans réserve.