CNIL | SAN-2024-020 | 5 DÉCEMBRE 2024 | AFFAIRE KASPR |
KASPR | SCRAPING DE DONNÉES DE CONTACTS LINKEDIN
L’AMI DE MON AMI N’EST PAS NÉCESSAIREMENT TON AMI. LA PRÉSENCE D’UNE DONNÉE PERSONNELLE SUR UN RÉSEAU SOCIAL PROFESSIONNEL NE CONFÈRE PAS À UN TIERS LE DROIT DE LA COLLECTER ET DE LA COMMERCIALISER
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
I. PRÉSENTATION GÉNÉRALE DE L’ARCHITECTURE DÉCISIONNELLE
La délibération n° SAN-2024-020 du 5 décembre 2024 de la formation restreinte de la CNIL retient quatre manquements distincts à l’encontre de la société KASPR, portant sur les articles 6, 5 §1 point e), 12, 14 et 15 du RGPD. Ces manquements s’articulent autour d’une problématique centrale : la légitimité de l’aspiration massive de données personnelles à partir de réseaux sociaux professionnels, et les conditions dans lesquelles les droits des personnes concernées peuvent être effectivement garantis dans un tel contexte. L’analyse qui suit restitue, pour chaque manquement, la motivation de la formation restreinte, les axes de défense de la société KASPR tels qu’ils ressortent de la délibération, et la réponse apportée par la Commission.
La délibération prononce, outre l’amende administrative de 240 000 euros, une injonction de mise en conformité assortie d’une astreinte, dans un délai de trois mois à compter de la notification de la décision.
II. PREMIER MANQUEMENT — ARTICLE 6 DU RGPD : ABSENCE DE BASE LÉGALE POUR LA COLLECTE DES DONNÉES DES PERSONNES N’AYANT PAS RENDU LEURS COORDONNÉES ACCESSIBLES
A. MOTIVATION DE LA FORMATION RESTREINTE
L’article 6, §1, point f) du RGPD autorise le traitement de données personnelles lorsqu’il est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement, « à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel ». La formation restreinte rappelle que l’appréciation de cet équilibre impose une analyse in concreto des attentes légitimes des personnes concernées.
En l’espèce, l’outil KASPR collecte depuis LinkedIn les coordonnées professionnelles — numéros de téléphone et adresses électroniques — de personnes physiques, en alimentant une base de données commercialisée auprès d’entreprises souhaitant pratiquer de la prospection B2B. La formation restreinte distingue deux sous-catégories de personnes cibles :
« les personnes cibles, c’est-à-dire les personnes dont les coordonnées professionnelles ont été collectées par la société à partir de différentes sources, dont le réseau social LinkedIn et versées dans sa base de données »
La formation restreinte opère une distinction capitale fondée sur le comportement des personnes elles-mêmes : celles qui ont activement paramétré LinkedIn pour limiter la visibilité de leurs coordonnées ont manifesté une attente légitime de ne pas voir ces données collectées et diffusées à des tiers. Cette attente, qui dérive directement des paramètres de confidentialité choisis, prime sur l’intérêt commercial de KASPR à constituer et monétiser une base de données de prospection. Dès lors, la collecte des coordonnées de ces personnes ne peut être fondée sur l’intérêt légitime de l’article 6, § 1, f) du RGPD.
La formation restreinte a en outre relevé que KASPR ne dispose pas davantage du consentement de ces personnes (article 6, § 1, a) du RGPD), ni de tout autre fondement légal susceptible de justifier le traitement. Le manquement à l’article 6 du RGPD est donc caractérisé pour l’ensemble des données collectées en méconnaissance des paramètres de confidentialité des personnes.
B. AXES DE DÉFENSE DE LA SOCIÉTÉ KASPR
La société a fait valoir, dans ses observations, que les coordonnées professionnelles figurant sur LinkedIn sont par nature des données que leurs titulaires ont délibérément rendues accessibles sur un réseau social professionnel public, de sorte que leur collecte à des fins de prospection commerciale B2B constituerait l’usage auquel ces personnes s’attendent raisonnablement. Elle a soutenu que l’intérêt légitime de la société — permettre à des entreprises de joindre des professionnels pour des démarches commerciales — est proportionné et légitime.
RÉPONSE DE LA FORMATION RESTREINTE
La formation restreinte a écarté cette argumentation en soulignant que la présence d’une information sur un réseau social ne la rend pas indistinctement disponible pour tout usage tiers. Le paramétrage de confidentialité constitue un acte positif de la personne, qui exprime une limitation de l’usage de ses données. Ignorer ce paramétrage revient à contrecarrer la volonté expresse de la personne concernée, ce qui est incompatible avec le fondement de l’intérêt légitime. La formation restreinte rappelle sur ce point le considérant 47 du RGPD, aux termes duquel « les intérêts et les droits fondamentaux de la personne concernée pourraient notamment prévaloir […] lorsque des données à caractère personnel sont traitées dans des circonstances où les personnes concernées ne s’attendent pas raisonnablement à un traitement ultérieur ».
III. DEUXIÈME MANQUEMENT — ARTICLE 5, § 1, E) DU RGPD : DURÉES DE CONSERVATION DISPROPORTIONNÉES
A. MOTIVATION DE LA FORMATION RESTREINTE
L’article 5, §1, point e) du RGPD dispose que les données à caractère personnel doivent être :
« conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées »
La société KASPR avait défini une durée nominale de conservation de cinq ans pour les données des personnes cibles. Toutefois, la formation restreinte a constaté que la société avait mis en place un mécanisme de renouvellement automatique de cette durée à chaque mise à jour des données — intervenant notamment lors d’un changement de poste ou d’employeur de la personne concernée. Concrètement, pour une personne changeant d’employeur tous les deux ans, la durée de conservation effective de ses données au sein de la base KASPR pouvait excéder indéfiniment la durée nominale de cinq ans, la mise à jour déclenchant systématiquement une nouvelle période complète de conservation.
« Pour les personnes qui changent de poste ou d’employeur avant 5 ans, la CNIL a relevé que ce renouvellement de la durée de conservation conduit à une conservation de leurs données pour une durée disproportionnée. »
Ce mécanisme, présenté par la société comme une mesure de maintien de la qualité et de la fraîcheur de sa base de données, a été analysé par la formation restreinte comme une violation du principe de limitation de la conservation : la finalité du traitement — la prospection commerciale — n’exige pas que la durée de conservation soit perpétuellement réinitialisée ; elle exige seulement que les données soient disponibles pendant une durée utile à cette finalité, qui doit être définie de manière abstraite et non en fonction des comportements individuels des personnes concernées.
B. AXES DE DÉFENSE DE LA SOCIÉTÉ KASPR
La société a soutenu que le renouvellement de la durée de conservation lors d’une mise à jour des données est justifié par la nécessité de maintenir la pertinence commerciale de sa base. Une donnée professionnelle mise à jour est, par définition, une donnée d’intérêt actuel pour ses clients. Elle a également fait valoir que la durée de cinq ans est en soi conforme aux standards du secteur de la prospection B2B.
RÉPONSE DE LA FORMATION RESTREINTE
La formation restreinte a distingué la durée de conservation — qui relève de la finalité du traitement et doit être appréciée de manière abstraite — de la pertinence commerciale d’une donnée, qui est une considération d’opportunité sans incidence sur le respect du principe de limitation. Le fait qu’une donnée soit mise à jour ne justifie pas de repartir à zéro dans le calcul de la durée de conservation : la donnée était déjà dans la base, et la durée nominale devait courir depuis la collecte initiale. En raisonnant autrement, le responsable du traitement pourrait conserver indéfiniment n’importe quelle donnée sous couvert d’actualisation périodique, ce qui viderait le principe de l’article 5, § 1, e) de toute substance.
IV. TROISIÈME MANQUEMENT — ARTICLES 12 ET 14 DU RGPD : MANQUEMENT À L’OBLIGATION D’INFORMATION DES PERSONNES CONCERNÉES
A. MOTIVATION DE LA FORMATION RESTREINTE
L’article 14 du RGPD impose au responsable du traitement qui collecte des données personnelles autrement que directement auprès des personnes concernées (collecte indirecte) de fournir à ces personnes l’ensemble des informations requises « dans un délai raisonnable après avoir obtenu les données à caractère personnel, mais ne dépassant pas un mois ». L’article 12 du RGPD précise que ces informations doivent être fournies « de façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples ».
La formation restreinte a constaté deux violations cumulatives de ces dispositions :
Premier aspect — absence totale d’information pendant quatre années : La société KASPR a développé et commercialisé son extension à compter de 2018. Ce n’est qu’en 2022 que la société a commencé à informer les personnes dont elle avait collecté les données de l’existence de ce traitement. Durant les quatre premières années d’exploitation de sa base de données, les personnes cibles ignoraient totalement que leurs coordonnées professionnelles avaient été aspirées, versées dans un fichier commercial et revendues à des entreprises tierces. La formation restreinte souligne que :
« La société n’a commencé à informer les personnes concernées que leurs données personnelles avaient été collectées qu’en 2022, soit quatre ans après la mise en œuvre de l’extension KASPR. »
Ce retard de quatre années est d’une gravité extrême au regard de l’article 14, qui fixe un délai maximal d’un mois. Il constitue, à lui seul, un manquement caractérisé et durable aux obligations de transparence.
Second aspect — information en langue étrangère : L’information délivrée à compter de 2022 prenait la forme d’un courriel rédigé en langue anglaise, renvoyant vers un lien permettant l’exercice du droit d’opposition. La formation restreinte a estimé que cet envoi en anglais ne satisfait pas à l’exigence de l’article 12 selon laquelle l’information doit être « compréhensible » pour son destinataire.
« Outre l’absence d’information des personnes sur la collecte de leurs données jusqu’en 2022, la CNIL a considéré que le fait d’adresser un courriel rédigé en anglais ne permettait pas une information transparente et compréhensible. »
Dès lors que les personnes ciblées étaient identifiées depuis LinkedIn France et que la clientèle de KASPR était en très grande majorité française, l’envoi d’une communication en anglais rendait l’information inintelligible pour une part significative de ses destinataires, vidant ainsi l’obligation d’information de sa portée effective.
B. AXES DE DÉFENSE DE LA SOCIÉTÉ KASPR
La société a fait valoir que l’envoi en anglais était justifié par la dimension internationale de LinkedIn et le fait que ses utilisateurs sont généralement des professionnels familiarisés avec l’anglais dans un contexte professionnel. Elle a également soutenu que la mise en place du dispositif d’information dès 2022 démontrait sa bonne foi et son effort de mise en conformité progressive.
RÉPONSE DE LA FORMATION RESTREINTE
La formation restreinte a écarté ces arguments en rappelant que la conformité au RGPD n’est pas un processus progressif laissé à la libre appréciation du responsable du traitement : l’obligation d’information s’impose dès la collecte des données. La tardiveté du dispositif mis en place, à quatre années de distance de la collecte initiale, est constitutive en elle-même d’un manquement grave et durable. S’agissant de la langue, le fait que LinkedIn soit un réseau à vocation internationale ne saurait faire présumer que l’ensemble de ses utilisateurs maîtrisent l’anglais. L’exigence de compréhensibilité de l’article 12 impose d’adapter la langue de communication au profil linguistique effectif des personnes concernées.
V. QUATRIÈME MANQUEMENT — ARTICLE 15 DU RGPD : RÉPONSE INCOMPLÈTE AUX DEMANDES D’EXERCICE DU DROIT D’ACCÈS
A. MOTIVATION DE LA FORMATION RESTREINTE
L’article 15 du RGPD confère à toute personne concernée le droit d’obtenir du responsable du traitement, notamment, « toute information disponible quant à la source » des données lorsqu’elles n’ont pas été collectées auprès d’elle directement. La formation restreinte a constaté que lorsque des personnes ciblées par des démarches commerciales contactaient KASPR pour savoir d’où provenaient leurs coordonnées, la société leur indiquait que celles-ci avaient été « collectées à partir de sources publiquement accessibles », sans autre précision.
Or, la société répertoriait elle-même, dans sa propre politique de confidentialité, les sources alimentant sa base de données. La formation restreinte a estimé que :
« même si la société était dans l’incapacité technique de préciser la source des données collectées pour chaque personne concernée, elle avait cependant connaissance d’une partie des sources qui alimentent sa base. Par ailleurs, ces sources étaient répertoriées dans sa politique de confidentialité. »
Cette incohérence entre la politique de confidentialité, qui liste les sources, et la réponse aux demandes individuelles, qui les tait, révèle que la société disposait bien des informations pertinentes mais choisissait de ne pas les communiquer à la personne qui en faisait la demande. La formation restreinte en a déduit un manquement à l’article 15 du RGPD.
B. AXES DE DÉFENSE DE LA SOCIÉTÉ KASPR
La société a invoqué une impossibilité technique de retracer, pour chaque donnée individuelle, la source précise de sa collecte au sein de la base de données. Elle a soutenu que l’indication générale de « sources publiquement accessibles » constituait la réponse maximalement complète qu’elle était en mesure de fournir compte tenu de l’architecture de son système d’information.
RÉPONSE DE LA FORMATION RESTREINTE
La formation restreinte a admis la possibilité d’une incapacité technique à préciser la source par donnée et par personne. Elle a néanmoins considéré que cette difficulté n’exemptait pas la société de communiquer les informations dont elle disposait effectivement, en l’espèce la liste des sources répertoriées dans sa politique de confidentialité. L’argument de l’impossibilité technique ne peut être invoqué de manière sélective : on ne saurait admettre qu’une société publie sur son site internet la liste de ses sources de collecte pour des raisons de transparence globale, tout en refusant de communiquer cette même liste à une personne qui en fait la demande au titre du droit d’accès.
VI. INDIVIDUALISATION DE LA SANCTION
La formation restreinte, statuant au regard des critères énoncés à l’article 83 du RGPD, a tenu compte des éléments suivants :
Facteurs aggravants : La durée particulièrement longue du manquement à l’obligation d’information (quatre années), le caractère massif de la collecte portant sur un grand nombre de personnes, et le fait que KASPR est à la fois collecteur primaire et commercialisateur secondaire de données, ce qui renforce sa responsabilité dans la chaîne de traitement.
Facteurs atténuants : La société a commencé à se mettre en conformité à partir de 2022, avant même le déclenchement de la procédure de sanction. Elle a coopéré avec les services de la Commission lors du contrôle. Son chiffre d’affaires, en progression mais d’une envergure limitée (société de 32 salariés), a conduit la formation restreinte à moduler le montant de l’amende pour qu’il soit proportionné à ses capacités financières.
L’amende de 240 000 euros est assortie d’une injonction de mise en conformité dans un délai de trois mois à compter de la notification, concernant : (i) la cessation de la collecte des données des personnes ayant limité la visibilité de leurs coordonnées et la suppression de celles déjà collectées, (ii) la correction du mécanisme de renouvellement automatique de conservation, (iii) la mise en place d’un dispositif d’information conforme dans une langue compréhensible, et (iv) l’amélioration des réponses aux demandes d’accès.
VII. DISPOSITIF DE LA DÉLIBÉRATION
La formation restreinte de la Commission nationale de l’informatique et des libertés, après en avoir délibéré, décide :
— de prononcer à l’encontre de la société KASPR une amende administrative d’un montant de 240 000 (deux cent quarante mille) euros ;
— de prononcer à l’encontre de la société KASPR une injonction de mettre ses traitements en conformité avec les articles 5 §1 point e), 6, 12, 14 et 15 du Règlement, dans un délai de trois mois à compter de la notification de la présente délibération, s’agissant notamment :
de cesser de collecter et de traiter les données des personnes dont les paramètres de confidentialité de leur profil LinkedIn limitent la visibilité de leurs coordonnées, et de supprimer les données de ces personnes déjà présentes dans sa base de données ;
de cesser le renouvellement automatique de la durée de conservation lors des mises à jour des données ;
d’informer les personnes concernées dans une langue compréhensible par celles-ci ;
de fournir aux personnes exerçant leur droit d’accès les informations disponibles quant à la source de leurs données ;
— d’assortir cette injonction d’une astreinte de 500 (cinq cents) euros par jour de retard à l’issue du délai de trois mois précité ;
— de rendre publique sa délibération sur le site de la CNIL et sur le site de Légifrance, qui ne permettra plus d’identifier nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.
VIII. CONTEXTUALISATION JURISPRUDENTIELLE — JURISPRUDENCES ANTÉRIEURES ET POSTÉRIEURES
La délibération SAN-2024-020 s’inscrit dans un corpus jurisprudentiel en voie de consolidation sur les manquements des courtiers en données et acteurs du scraping B2B.
Jurisprudences antérieures pertinentes :
La délibération SAN-2022-024 (LUSHA) du 20 décembre 2022 constitue le précédent le plus directement comparable : LUSHA opère une extension Chrome identique dans sa conception à celle de KASPR. La formation restreinte y avait conclu à l’inapplicabilité du RGPD, faute d’établissement en Europe et de clientèle suffisamment européenne. La délibération KASPR vient combler ce vide en affirmant la compétence de la CNIL dès lors que la société est établie en France. La délibération SAN-2023-025 (TAGADAMEDIA) du 29 décembre 2023 avait déjà posé les bases d’une jurisprudence stricte sur la licéité du traitement par les courtiers en données : absence de base légale valable et manque de registre des activités. La délibération SAN-2024-004 (HUBSIDE.STORE) du 4 avril 2024, prononcée quelques mois avant la délibération KASPR, avait retenu un manquement à l’article 14 du RGPD dans des circonstances analogues (collecte indirecte de données à des fins de prospection commerciale sans information adéquate des personnes concernées).
Jurisprudences postérieures confirmant la ligne :
La délibération SAN-2025-001 (SOLOCAL MARKETING SERVICES) du 15 mai 2025 confirme et approfondit l’exigence posée par la délibération KASPR s’agissant de la base légale et de la preuve du consentement dans la chaîne de collecte. La délibération SAN-2025-002 (CALOGA) du 15 mai 2025 retient un manquement à l’article 5-1-e) du RGPD relatif aux durées de conservation, dans un contexte de prospection commerciale identique. Ces deux décisions postérieures confirment que la ligne jurisprudentielle de la CNIL en matière de scraping et de prospection B2B est désormais pleinement stabilisée et se traduit systématiquement par le prononcé de sanctions pécuniaires assorties d’injonctions structurelles.
POINTS ESSENTIELS
La délibération n° SAN-2024-020 du 5 décembre 2024, par laquelle la formation restreinte de la CNIL prononce une amende de 240 000 euros à l’encontre de la société KASPR — éditrice d’une extension Chrome permettant d’accéder depuis LinkedIn aux coordonnées professionnelles de personnes physiques tierces —, constitue un arrêt de principe sur les conditions de licéité du data scraping à des fins de prospection commerciale B2B, dont la portée dépasse largement la seule situation de l’espèce.
La formation restreinte y affirme, avec une rigueur doctrinale remarquable, que la présence d’une donnée personnelle sur un réseau social professionnel ne confère pas à un tiers le droit de la collecter et de la commercialiser : le paramétrage de confidentialité choisi par son titulaire constitue une manifestation de volonté juridiquement opposable, qui fait obstacle à l’invocation de l’intérêt légitime prévu par l’article 6, § 1, f) du RGPD dès lors que les droits et attentes légitimes de la personne prévalent sur les intérêts commerciaux du responsable du traitement. En outre, la délibération sanctionne avec une sévérité particulière le mécanisme de renouvellement automatique de la durée de conservation lors des mises à jour des données — pratique par laquelle KASPR contournait de facto le principe de limitation consacré par l’article 5, § 1, e) du RGPD —, ainsi que l’absence totale d’information des personnes concernées pendant quatre années suivant la mise en œuvre de l’extension (2018-2022), en violation flagrante du délai impératif d’un mois fixé par l’article 14 du RGPD pour les collectes indirectes ; la Commission ajoute à ce constat que l’information délivrée à partir de 2022, rédigée en langue anglaise, ne satisfaisait pas à l’exigence de compréhensibilité posée par l’article 12 du RGPD à l’égard de personnes dont la langue maternelle est le français. Enfin, en retenant le manquement à l’article 15 du RGPD pour avoir répondu aux demandes d’accès par une formule générique renvoyant à « des sources publiquement accessibles », alors même que la politique de confidentialité de la société en listait précisément les sources, la formation restreinte impose un principe de cohérence documentaire aux responsables du traitement : on ne saurait être plus précis dans ses déclarations publiques que dans ses réponses aux demandes individuelles.
Prononcée deux ans après la décision d’incompétence rendue dans l’affaire LUSHA (SAN-2022-024), la délibération KASPR vient combler le vide jurisprudentiel créé par cette décision et poser, pour la première fois, un corpus de règles précises et contraignantes applicables aux acteurs européens du scraping de données professionnelles — corpus que la jurisprudence postérieure (SOLOCAL, SAN-2025-001 ; CALOGA, SAN-2025-002) confirme et amplifie, consacrant une ligne sanctionnatrice désormais pleinement stabilisée qui fait peser sur l’ensemble des opérateurs du secteur une obligation de conformité immédiate et sans réserve.
25.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats