CNIL | SAN-2024-020 | 5 décembre 2024 | Affaire KASPR | SAN-2024-020-ESSENTIELS

1. La collecte illicite de coordonnées LinkedIn « masquées » : un modèle économique fondé sur le contournement des choix de paramétrage des utilisateurs

KASPR exploite un mécanisme de synchronisation des contacts LinkedIn de ses abonnés pour récupérer les coordonnées de leurs contacts directs, y compris celles que ces contacts avaient délibérément restreintes à leur seul cercle de relations au sein du réseau social. La formation restreinte juge ce dispositif contraire à l’article 6 du RGPD en appliquant le test de l’intérêt légitime : si la légitimité de l’intérêt commercial de KASPR et la nécessité de la collecte sont admises, la mise en balance avec les droits des personnes concernées est défavorable à la société dès lors que les personnes cibles ont exprimé, par leur paramétrage, une volonté de ne pas rendre leurs coordonnées accessibles à des tiers. Le choix délibéré de restreindre la visibilité de ses données s’analyse comme une forme d’opposition qui s’impose aux tiers, conformément au considérant 47 du RGPD selon lequel le traitement fondé sur l’intérêt légitime ne peut heurter les attentes raisonnables de la personne concernée. Ce manquement concerne uniquement la partie de la base de données constituée via le mécanisme de synchronisation LinkedIn pour les personnes ayant limité la visibilité de leurs coordonnées, et non l’intégralité des 160 millions de contacts.

2. La durée de conservation : le renouvellement automatique comme mécanisme de conservation indéfinie

KASPR conservait les coordonnées des personnes cibles pendant cinq ans à compter de chaque mise à jour des données, celle-ci intervenant systématiquement lors d’un changement de poste ou d’employeur. Pour toute personne dont la carrière est marquée par une mobilité professionnelle régulière — situation courante pour les profils actifs sur LinkedIn — ce mécanisme de renouvellement automatique du délai de conservation à chaque mise à jour aboutissait concrètement à une conservation indéfinie des données. La formation restreinte retient un manquement à l’article 5, paragraphe 1, e) du RGPD, qui impose une durée de conservation proportionnée aux finalités du traitement. La limitation formelle à cinq ans était vidée de sa substance par le mécanisme de renouvellement, qui transformait une durée apparemment définie en une conservation de fait illimitée pour les personnes les plus actives professionnellement, precismément celles constituant le cœur de cible commercial de KASPR.

3. Quatre ans de violation de l’obligation d’information et une communication en langue étrangère

KASPR n’a mis en place aucun dispositif d’information à destination des personnes dont les coordonnées figuraient dans sa base entre 2018 et 2022, soit pendant quatre années durant lesquelles environ 160 millions de personnes ont été traitées sans en être informées, en violation directe de l’article 14 du RGPD qui impose une information dans un délai d’un mois au plus tard après la collecte des données auprès d’une source tierce. Lorsque ce dispositif a enfin été déployé en 2022, l’information était délivrée en anglais à l’ensemble des personnes concernées, quelle que soit leur nationalité ou leur localisation dans l’Union européenne. La formation restreinte retient que l’exigence de compréhensibilité posée par l’article 12 du RGPD ne peut être satisfaite par une information rédigée dans une langue que la personne concernée ne maîtrise pas nécessairement, et que la présomption d’une maîtrise généralisée de l’anglais dans un ensemble de 160 millions de professionnels européens ne peut constituer un fondement valable à cette pratique.

4. Le droit d’accès insuffisamment exercé : l’obligation de communiquer la source des données

Lorsque des personnes ayant été démarchées à l’aide de l’extension KASPR exerçaient leur droit d’accès pour obtenir des informations sur l’origine de leurs coordonnées, la société leur communiquait une réponse standardisée indiquant que les données provenaient de « sources publiquement accessibles », sans plus de précision. L’article 15, paragraphe 1, g) du RGPD impose de communiquer toute information disponible quant à la source des données lorsque celles-ci n’ont pas été collectées directement auprès de la personne. La formation restreinte retient que KASPR ne pouvait se retrancher derrière une impossibilité technique pour justifier cette réponse laconique : la société avait parfaitement connaissance des catégories de sources alimentant sa base de données — LinkedIn, WHOIS, GitHub, registres de noms de domaine — et les avait d’ailleurs listées dans sa politique de confidentialité. Elle était donc en mesure de communiquer au minimum ces catégories de sources, même si elle n’était pas techniquement capable d’identifier la source précise pour chaque individu.

5. La coopération européenne et la portée transnationale de la délibération

La délibération a été adoptée selon le mécanisme du guichet unique prévu à l’article 60 du RGPD, la CNIL ayant agi en qualité d’autorité chef de file au titre de l’établissement unique de KASPR en France. Les autorités de contrôle suédoise, hongroise et allemande (land de Saxe) ont été formellement impliquées en tant qu’autorités concernées, en raison de la présence dans la base de données de contacts localisés sur leurs territoires respectifs. La formation restreinte précise que la qualité d’autorité concernée ne résulte pas d’une déclaration des autorités elles-mêmes via le formulaire Article 56, mais de la présence effective de données relatives à des personnes résidant sur leur territoire — et non de la seule déclaration de compétence. En l’absence d’objection pertinente et motivée de l’une quelconque de ces autorités dans le délai prévu, la décision est réputée avoir été approuvée par l’ensemble des autorités européennes concernées, lui conférant une portée paneuropéenne et faisant d’elle un précédent applicable à l’ensemble de l’activité d’aspiration de données professionnelles depuis LinkedIn sur le territoire de l’Union.

POINTS ESSENTIELS