ANALYSE CRITIQUE APPROFONDIE
SUR LE MANQUEMENT À L’OBLIGATION DE BASE LÉGALE (ART. 6 DU RGPD)
1. Cadre juridique et mécanisme d’évaluation de l’intérêt légitime
L’article 6 du RGPD énumère les bases légales permettant de fonder un traitement de données personnelles. Parmi celles-ci, l’intérêt légitime du responsable du traitement (article 6.1.f) exige une mise en balance entre cet intérêt et les droits fondamentaux des personnes concernées. Cette analyse tripartite, explicitée par le considérant 47, impose de vérifier :
-
La légitimité de l’intérêt poursuivi ;
-
La nécessité du traitement pour atteindre cet intérêt ;
-
La non-prévalence des droits des personnes concernées.
Dans la décision SAN-2024-020, la CNIL a rejeté l’argumentation de KASPR fondée sur l’intérêt légitime, jugeant que la collecte de coordonnées professionnelles – même via des profils LinkedIn partiellement restreints – violait les attentes raisonnables des utilisateurs.
2. Motivations de la CNIL : une interprétation rigoureuse des « attentes raisonnables »
La CNIL a retenu deux éléments clés pour invalider la base légale invoquée :
a) La contradiction avec les paramètres de confidentialité explicites
Les utilisateurs de LinkedIn avaient activement limité la visibilité de leurs coordonnées aux relations de 1er et 2e niveaux. Or, KASPR a collecté ces données en exploitant les comptes d’utilisateurs tiers via une synchronisation automatisée, contournant ainsi les choix exprès des personnes concernées. La Commission a jugé que cette pratique excédait les « attentes raisonnables » au sens du RGPD, puisque les personnes avaient manifesté une volonté claire de restreindre l’accès à leurs informations.
b) L’absence de lien pertinent entre KASPR et les personnes cibles
La CNIL a souligné l’absence de relation contractuelle ou professionnelle directe entre KASPR et les personnes cibles. Contrairement à LinkedIn, qui sert d’intermédiaire technique, KASPR opère en dehors du cadre consenti par les utilisateurs. Le considérant 47 requiert une « relation pertinente et appropriée » (ex. : clientèle existante), absente en l’espèce.
Cette double analyse s’appuie sur une interprétation protectrice du RGPD, où le respect des paramètres de confidentialité prime sur les intérêts économiques des tiers.
3. Critiques et nuances possibles de l’approche de la CNIL
a) Subjectivité des « attentes raisonnables »
Si le paramétrage LinkedIn reflète une volonté de confidentialité, il est discutable d’en déduire systématiquement une opposition implicite à toute utilisation externe. Les utilisateurs de LinkedIn, conscients du caractère professionnel du réseau, pourraient légitimement s’attendre à ce que leurs coordonnées soient utilisées à des fins de réseautage, y compris par des outils tiers. La CNIL minimise cette attente en privilégiant une lecture strictement technique des paramètres, sans considérer les usages professionnels implicites.
b) Qualification des données professionnelles
Les données collectées (noms, emails professionnels, postes) relèvent de la sphère professionnelle, ce qui pourrait atténuer l’atteinte perçue à la vie privée. La CJUE a néanmoins rappelé dans l’affaire Volker und Markus Schecke (C-92/09) que les données professionnelles restent des données personnelles dès qu’elles concernent une personne physique. La CNIL suit cette jurisprudence, mais une approche plus nuancée aurait pu distinguer les données publiques (ex. : annuaires d’entreprises) des données restreintes.
c) Impact de la finalité du traitement
KASPR invoquait un intérêt légitime lié à la facilitation des relations professionnelles, objectif en principe compatible avec LinkedIn. La CNIL écarte cet argument au motif que les personnes cibles n’ont pas consenti à cette finalité spécifique. Pourtant, la prospection B2B est souvent considérée comme relevant de l’intérêt légitime, comme le reconnaît la CNIL dans ses lignes directrices de 2009. Une analyse plus équilibrée aurait pu évaluer si les mesures de transparence (même tardives) atténuaient suffisamment l’impact sur les droits des personnes.
4. Résonance avec la jurisprudence européenne
La décision s’inscrit dans la lignée de la jurisprudence Google v. CNIL (C-507/17), où la CJUE a limité l’application extraterritoriale du RGPD. Cependant, la CNIL distingue le cas d’espèce : KASPR, établie en France, traite des données de résidents européens, ce qui justifie sa compétence. Par ailleurs, l’arrêt Deutsche Wohnen (C-807/21) rappelle que la négligence dans le respect du RGPD suffit à caractériser une violation, renforçant ainsi le fondement de la sanction.
5. La position de la CNIL témoigne d’une rigueur accrue dans l’interprétation de l’intérêt légitime, privilégiant la protection des choix explicites des utilisateurs. Cependant, cette approche peut paraître excessivement formaliste :
Elle ne tient pas compte des usages réels des réseaux professionnels, où la diffusion des coordonnées à des fins de mise en relation est souvent anticipée.
Elle surdétermine les paramètres techniques au détriment d’une appréciation contextuelle des attentes.
Néanmoins, en l’absence de consentement explicite ou de relation préexistante, la CNIL rappelle avec justesse que l’intérêt légitime ne saurait servir de passe-droit pour contourner les préférences de confidentialité. Cette décision renforce ainsi le pouvoir de contrôle des individus sur leurs données, même dans un contexte professionnel.
SUR LE MANQUEMENT RELATIF À LA
DURÉE DE CONSERVATION DES DONNÉES (ARTICLE 5-1-E DU RGPD)
1. Cadre juridique et principes applicables
L’article 5-1-e du RGPD impose le principe de limitation de la conservation, selon lequel les données personnelles doivent être conservées « pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ». Cette disposition s’inscrit dans une logique de minimisation des risques : les données ne doivent pas persister indéfiniment dans les systèmes informatiques, car leur conservation prolongée accroît les risques de fuites, de réutilisation abusive ou de non-conformité aux finalités initiales. La CNIL, dans sa délibération SAN-2024-020, a jugé que la politique de conservation « dynamique » adoptée par la société KASPR contrevenait à ce principe, en permettant une conservation potentiellement illimitée des données.
2. Examen des pratiques de KASPR et motivation de la CNIL
La société KASPR avait initialement instauré un mécanisme de conservation renouvelable automatiquement : chaque mise à jour du profil LinkedIn d’une personne (changement de poste, d’entreprise, etc.) déclenchait un nouveau délai de conservation de cinq ans. Bien que cette politique ait été modifiée en 2021 pour limiter la durée à cinq ans après la dernière mise à jour, la CNIL a estimé que le caractère conditionnel et récurrent du renouvellement rendait la conservation imprévisible et disproportionnée.
La formation restreinte a souligné trois éléments clés :
-
L’absence de maîtrise par les personnes concernées : Les individus dont les données étaient traitées n’avaient aucun moyen de contrôler ni d’anticiper la durée effective de conservation, puisqu’ils n’étaient pas utilisateurs de KASPR et ignoraient souvent leur présence dans la base.
-
L’inadéquation entre la finalité et la durée : La CNIL a jugé qu’une conservation de cinq ans (renouvelable) était excessive pour des finalités de prospection commerciale ou de recrutement, qui nécessitent des données actualisées et pertinentes. Une durée aussi longue, couplée à un renouvellement passif, transformait la base de données en un registre historique plutôt qu’opérationnel.
-
Le risque de conservation illimitée : Pour les profils fréquemment mis à jour (ex. : cadres changeant régulièrement d’emploi), le système de KASPR conduisait à une conservation de facto perpétuelle, contraire à l’esprit du RGPD.
3. Position de la CNIL
La position de la CNIL repose sur une rigueur systémique conforme aux exigences du RGPD :
Primauté du contrôle individuel : En soulignant la passivité des personnes concernées, la CNIL rappelle que les responsables de traitement ne peuvent invoquer des impératifs techniques (ex. : maintenance d’une base « à jour ») pour contourner les droits des individus.
Refus de l’automatisation aveugle : Le rejet du renouvellement automatique illustre une méfiance envers les algorithmes qui, sous couvert d’efficacité, privent les personnes de toute maîtrise sur leurs données.
Alignement avec les lignes directrices européennes : La CNIL s’appuie implicitement sur l’avis 03/2022 du Comité européen de la protection des données (CEPD), qui recommande de fixer des durées prédéterminées et objectivables, plutôt que des mécanismes conditionnels.
Cette approche est renforcée par la jurisprudence récente. Par exemple, dans l’affaire Deutsche Wohnen (2023), la CJUE a rappelé que les responsables de traitement doivent documenter explicitement les critères de conservation, ce que KASPR n’a pas fait avant 2021.
4. Critiques et limites de la position de la CNIL
Malgré sa solidité juridique, la décision de la CNIL appelle plusieurs nuances :
a) Une appréciation rigide de la proportionnalité
La CNIL oppose une fin de non-recevoir à l’argument de KASPR selon lequel la conservation dynamique était nécessaire pour garantir la pertinence des données (cruciale dans un contexte professionnel mouvant). En exigeant une durée fixe, la Commission néglige partiellement la réalité des marchés dynamiques, où les coordonnées professionnelles peuvent perdre leur utilité en quelques mois. Une approche plus nuancée aurait pu autoriser des renouvellements sous conditions strictes (ex. : vérification annuelle de l’actualité des données).
b) Une surinterprétation du risque de conservation illimitée
La CNIL assimile la conservation dynamique à une conservation « illimitée », mais cette assimilation mériterait d’être étayée. En pratique, même avec des mises à jour fréquentes, la probabilité qu’une personne modifie son profil indéfiniment sur cinq ans est faible. La CNIL aurait pu exiger de KASPR une analyse statistique des durées réelles de conservation, plutôt que de rejeter en bloc le mécanisme.
c) Un déséquilibre entre finalités et droits individuels
La CNIL privilégie les droits des personnes concernées au détriment des finalités légitimes du traitement. Or, le RGPD exige une mise en balance (article 5-1-b), non une primauté absolue d’un principe sur l’autre. En l’espèce, la CNIL n’explique pas pourquoi une conservation de cinq ans (même renouvelable) serait en soi disproportionnée pour de la prospection B2B, secteur où les cycles de vente sont souvent longs.
d) L’absence de distinction entre types de données
La CNIL traite de manière uniforme les données collectées (noms, emails, postes), sans distinguer leur degré de sensibilité ou leur caractère public. Par exemple, les adresses email professionnelles figurant sur des sites d’entreprise sont souvent considérées comme « publiques » dans la jurisprudence européenne (cf. décision Rigas satiksme), ce qui aurait pu justifier une conservation plus longue que pour des données restreintes sur LinkedIn.
5. Résonance avec la pratique internationale
La position de la CNIL contraste avec certaines approches étrangères. Aux États-Unis, par exemple, le California Consumer Privacy Act (CCPA) n’impose pas de durées maximales de conservation, laissant aux entreprises le soin de définir des critères internes. À l’inverse, l’Allemagne, via sa loi fédérale sur la protection des données (BDSG), exige des durées précises pour chaque catégorie de données, dans une logique proche de la CNIL. Cette divergence rappelle que l’interprétation de la « proportionnalité » reste tributaire des cultures juridiques nationales, même sous l’égide du RGPD.
6. Une décision protectrice mais perfectible
La délibération SAN-2024-020 illustre la volonté de la CNIL de sanctuariser le principe de limitation de la conservation, en prohibant les mécanismes opaques ou trop flexibles. Si cette rigueur est louable pour prévenir les dérives, elle pénalise parfois les réalités opérationnelles des entreprises, qui peinent à concilier mise à jour des données et respect des délais fixes.
Une piste de réflexion serait d’instaurer des mécanismes de révision périodique obligeant les responsables de traitement à réévaluer, à intervalles réguliers, la nécessité de conserver certaines catégories de données. Cette approche, déjà préconisée par le CEPD, permettrait de concilier flexibilité et contrôle, sans sacrifier les droits des personnes concernées.
SUR LE MANQUEMENT À L’OBLIGATION DE TRANSPARENCE
ET D’INFORMATION (ARTICLES 12 ET 14 DU RGPD)
1. Contexte normatif des articles 12 et 14 du RGPD
Les articles 12 et 14 du RGPD encadrent l’obligation de transparence et d’information, pierre angulaire du droit à l’autodétermination informationnelle. L’article 12 impose une information « concise, transparente, compréhensible et aisément accessible », tandis que l’article 14 étend cette obligation aux cas où les données sont collectées indirectement, exigeant une notification sous un mois après obtention des données. Ces dispositions visent à garantir que les personnes concernées comprennent qui traite leurs données, pourquoi et selon quelles modalités, afin d’exercer leurs droits en connaissance de cause.
La CNIL a relevé deux volets distincts dans le manquement imputé à KASPR :
L’absence totale d’information entre 2018 et 2022 ;
Une information postérieure jugée inadéquate (langue anglaise exclusive et renvoi à des liens externes).
2. Motivation de la CNIL
2.1. Défaut d’information initiale (2018-2022) : Une violation systémique
La CNIL souligne que KASPR a collecté massivement des coordonnées professionnelles via LinkedIn et d’autres sources sans jamais informer les personnes concernées pendant quatre ans. Pourtant, la société disposait des adresses e-mail nécessaires pour procéder à cette information. La Commission rejette l’argument de KASPR selon lequel les politiques de confidentialité de LinkedIn suffisaient à remplir cette obligation. Elle rappelle que ces politiques ne couvrent que les traitements effectués par LinkedIn lui-même, non ceux de tiers comme KASPR.
Cette interprétation est conforme à la logique du RGPD, qui exige une information spécifique et directe pour chaque traitement. L’arrêt Deutsche Wohnen (CJUE, 2023) a clarifié que l’impossibilité technique ou opérationnelle ne dispense pas de cette obligation, sauf preuve d’efforts « disproportionnés » (art. 14-5-b). Or, KASPR n’a fourni aucune justification probante d’une telle impossibilité.
2.2. Courriels en anglais et opacité des informations (2022-2024)
À partir de mai 2022, KASPR a envoyé des courriels en anglais contenant un lien vers un formulaire d’opposition. La CNIL relève trois carences :
Langue inadaptée : L’usage exclusif de l’anglais ne respecte pas l’exigence de « clarté et accessibilité » (art. 12-1). La CNIL s’appuie sur la décision de l’autorité néerlandaise contre Uber (2023), qui a jugé que l’anglais ne peut être présumé compris par tous, même dans un contexte professionnel.
Informations partielles : Les courriels ne mentionnaient pas les finalités précises du traitement ni les droits des personnes (accès, rectification), violant l’article 14-1-a et c.
Sources non détaillées : La mention générique de « sources accessibles publiquement » masquait l’origine réelle des données (LinkedIn, annuaires professionnels, fournisseurs tiers), privant les personnes de moyens pour contester la licéité.
Analyse des attentes raisonnables : La CNIL souligne que les personnes cibles, souvent passives (non utilisatrices de KASPR), ne pouvaient anticiper la collecte de leurs données restreintes sur LinkedIn. Cette opacité viole le principe de loyauté (art. 5-1-a), renforcé par le considérant 39 du RGPD.
3. Critiques et limites de l’approche de la CNIL
3.1. Sur la présomption de non-maîtrise de l’anglais
La CNIL écarte l’argument de KASPR sur le public « international » de LinkedIn en s’appuyant sur la diversité linguistique de l’UE. Néanmoins, cette position mériterait une analyse contextuelle plus nuancée :
Pluralité des usages professionnels : Dans des secteurs globalisés (tech, finance), l’anglais est souvent lingua franca. Une étude des profils ciblés par KASPR aurait permis d’évaluer si cette langue était effectivement comprise.
Jurisprudence contrastée : Si l’autorité néerlandaise a sanctionné Uber pour l’usage de l’anglais, d’autres autorités (comme l’Irlande) tolèrent cette pratique sous conditions. La CNIL aurait pu proposer des standards gradués (ex. : informations multilingues pour les données sensibles).
3.2. Absence de reconnaissance des efforts post-contrôle
KASPR a introduit en 2024 une option de sélection de langue (français, espagnol, etc.) pour ses communications. La CNIL minimise ces corrections en soulignant leur caractère tardif. Pourtant, le RGPD encourage les mesures correctives (art. 83-2-c), et leur prise en compte aurait renforcé l’équité de la décision.
3.3. Sur l’articulation entre transparence et proportionnalité
La CNIL exige une exhaustivité absolue dans l’information sur les sources, exigeant que KASPR cite explicitement LinkedIn, Whois, etc. Or, l’article 14-2-g demande seulement « toute information disponible ». Une interprétation trop rigide risque de pénaliser les acteurs incapables de tracer parfaitement leurs flux de données, notamment dans les traitements massifs.
4. Résonance avec la doctrine et la jurisprudence
Lignes directrices du CEPD : Les guidelines 1/2019 sur les traitements transparents rappellent que l’information doit être « proactive et non dissimulée ». La CNIL suit cette logique en exigeant que les données essentielles figurent dans le corps du message, non derrière un lien.
Arrêt Google v. CNIL (C-507/17) : Bien que centré sur le déréférencement, cet arrêt rappelle que les obligations du RGPD s’appliquent dès lors que le responsable est établi dans l’UE, justifiant la compétence de la CNIL malgré le public international de KASPR.
5. Conclusion : Une rigueur protectrice, mais perfectible
La motivation de la CNIL illustre une application stricte des articles 12 et 14, refusant toute approximation dans l’information des personnes. Cette rigueur se justifie par l’ampleur des données traitées (160 millions de profils) et la nature intrusive du démarchage. Cependant, deux axes d’amélioration se dégagent :
Nuancer l’exigence linguistique : Adapter la langue aux publics cibles identifiables (ex. : utiliser l’anglais pour les secteurs globalisés, couplé à des options de traduction).
Valoriser les mesures correctives : Bien que tardives, les améliorations apportées par KASPR méritent d’être soulignées pour encourager la conformité proactive.
En définitive, la décision SAN-2024-020 rappelle que la transparence n’est pas un formalisme, mais un préalable essentiel à l’exercice effectif des droits. Elle impose aux acteurs du numérique de repenser leurs interfaces pour placer les choix des utilisateurs au cœur des traitements, y compris lorsque ceux-ci s’expriment à travers des paramètres de confidentialité sur des plateformes tierces.
SUR LE MANQUEMENT AU DROIT D’ACCÈS (ARTICLE 15 DU RGPD)
1. Contexte juridique et normatif de l’article 15 du RGPD
Le droit d’accès, consacré à l’article 15 du RGPD, confère à toute personne concernée le droit d’obtenir, de la part du responsable de traitement, la confirmation que des données personnelles la concernant sont ou non traitées. Lorsqu’elles le sont, cet article impose au responsable de traitement de fournir une copie des données personnelles traitées ainsi qu’un ensemble d’informations complémentaires, parmi lesquelles figure l’obligation de communiquer « toute information disponible quant à leur source » lorsque les données n’ont pas été collectées directement auprès de la personne concernée. Ce droit vise à garantir une transparence totale et à permettre à l’individu de comprendre et de vérifier la licéité des traitements, afin de pouvoir exercer, le cas échéant, d’autres droits connexes, tels que le droit d’opposition ou le droit d’effacement.
Dans l’affaire concernant la société KASPR (délibération SAN-2024-020), la CNIL reproche à cette dernière de n’avoir pas respecté les exigences de cet article dans ses réponses aux demandes d’accès formulées par plusieurs plaignants. Ces plaintes émanaient de personnes ayant été démarchées commercialement après que leurs coordonnées avaient été collectées par KASPR sans leur consentement, souvent via des limitations de visibilité qu’elles avaient pourtant choisies sur LinkedIn. La problématique posée à la CNIL portait donc sur le contenu a minima et l’exactitude des réponses fournies par KASPR et, plus généralement, sur la capacité de l’entreprise à documenter et tracer l’origine des données qu’elle exploitait dans sa base commerciale.
2. Griefs retenus par la CNIL contre KASPR
La CNIL a critiqué deux principaux aspects des réponses fournies par KASPR aux demandes d’accès :
Un manque de précision sur les sources des données : Les réponses de KASPR se limitaient à indiquer que les données provenaient de « sources publiques accessibles », sans identifier précisément les plateformes, annuaires ou réseaux sociaux spécifiques.
Une absence de documentation et de traçabilité des sources : Bien que KASPR ait ensuite répertorié ses principales catégories de sources (LinkedIn, WHOIS, GitHub, etc.), elle était incapable de relier de manière rétroactive chaque donnée spécifique à une source précise, invoquant une limitation technique antérieure à 2022.
Ces carences ont conduit à une violation de l’exigence d’information contenue à l’article 15(1)(g) du RGPD, qui oblige les responsables de traitement à fournir toute information disponible quant à la source des données. La CNIL a jugé que KASPR disposait d’informations suffisantes pour fournir des réponses plus détaillées, et a considéré que cette omission privait les plaignants de leur capacité à contester la licéité des traitements en cours.
3. Analyse critique
3.1. Une interprétation stricte mais légitime de l’article 15(1)(g)
La CNIL adopte une lecture protectrice de l’article 15, estimant que l’obligation d’informer sur la source des données suppose une réponse concrète et documentée, et non une simple mention générique. Cette exigence vise à éviter que des termes vagues, tels que « sources publiques », ne deviennent des échappatoires empêchant les plaignants d’évaluer l’origine réelle des données et de vérifier si celles-ci ont été collectées dans le respect des lois applicables. En effet, la précision sur la source devient essentielle dans des situations où les données sont collectées via des tiers ou agrégées à partir de multiples plateformes, comme c’est le cas pour KASPR.
En invoquant les lignes directrices 01/2022 publiées par le Comité Européen de la Protection des Données (CEPD), la CNIL rappelle que même si une traçabilité complète est techniquement impraticable, la société aurait dû au moins indiquer les catégories spécifiques de sources, telles que les réseaux sociaux LinkedIn ou les annuaires Whois. Or, KASPR n’a mentionné ces catégories qu’après le début de la procédure. En outre, la politique de confidentialité de l’entreprise demeurait vague au moment des faits, se contentant d’indiquer des expressions générales telles que « sources accessibles publiquement » ou « partenaires ponctuels ».
3.2. L’argument de l’impossibilité technique : une justification rejetée
KASPR a tenté de justifier le caractère générique de ses réponses en invoquant une impossibilité technique de tracer rétroactivement les données collectées avant 2022, moment où elle affirme avoir introduit un mécanisme de traçabilité plus rigoureux. La CNIL rejette cet argument, estimant que la société aurait dû intégrer dès le départ les principes de traçabilité et de transparence imposés par le RGPD, en application du principe de privacy by design (article 25 du RGPD). En effet, l’absence de documentation des flux de données et des sources spécifiques avant cette date constitue une négligence dans la conception de ses processus internes.
En outre, la CNIL souligne que même en l’absence de données traçables au niveau individualisé, KASPR disposait dès le contrôle de la CNIL d’une identification générale de ses sources principales (LinkedIn, WHOIS, fournisseurs tiers). Le refus d’inclure ces informations dans les réponses aux plaignants témoigne d’une volonté de minimiser la transparence, ce qui est contraire à l’esprit de l’article 15 du RGPD et du considérant 63, qui exige que les personnes concernées puissent évaluer efficacement si leurs données ont été collectées en conformité avec la loi.
3.3. Une exigence réaliste ou disproportionnée ?
Bien qu’elle soit conforme aux exigences du RGPD, l’interprétation retenue par la CNIL soulève une question quant à la proportionnalité des obligations imposées. Dans des contextes où des millions de données sont collectées à partir de multiples sources externes, comme le fait KASPR, la traçabilité intégrale de chaque donnée jusqu’à sa source exacte peut s’avérer techniquement et financièrement lourde, notamment pour des entreprises de taille moyenne. Une distinction pourrait être faite entre :
Des situations où l’origine exacte de la donnée peut être aisément identifiée (ex. : LinkedIn explicitement mentionné) ;
Des cas où seule une traçabilité approximative est possible, justifiant une mention des grandes catégories de sources.
La CNIL aurait pu mieux articuler une approche modulée qui reconnaisse les limites opérationnelles liées à des traitements massifs, tout en maintenant un standard élevé de transparence. Cependant, compte tenu de la taille et des moyens de KASPR, ses conclusions restent juridiquement légitimes.
4. En sanctionnant KASPR pour son incapacité à fournir des réponses précises aux demandes d’accès, tant en termes de structure de traçabilité que de contenu des réponses, la CNIL réaffirme le caractère central de la transparence et de la responsabilité (accountability) dans le RGPD. L’entreprise a manqué à ses obligations fondamentales en n’investissant pas suffisamment dans des mécanismes permettant, dès la conception de son système, de documenter les flux de données et de répondre adéquatement aux droits des personnes.
La décision s’inscrit dans une logique de protection renforcée des personnes concernées, en garantissant qu’elles disposent des informations nécessaires pour évaluer la conformité des traitements les concernant. Si l’approche de la CNIL est rigoureuse, elle apparaît justifiée par la gravité des atteintes aux droits des individus dans un contexte de collecte massive et automatisée de données.