FYTT #CNIL #JURISPRUDENCE #SCRAPING #SAN2024-020 | #KASPR #Délibération du 5 décembre 2024 | KASPR.IO | Scraping de données de contacts LINKEDIN | RGPD articles 5.1.e, 6, 12, 14, 15 | Amende: 250.000 €│ Chiffre d'affaires: ~3 000 000 € Résultat ~1 000 000 € |

CNIL SAN 2024-020 | Délibération du 5 décembre 2024 | KASPR.IO

Scraping illicite de données de contacts LINKEDIN | RGPD articles 5, 6, 12, 14, 15 |

Amende: 250.000 €│ Chiffre d'affaires: ~3 000 000 €  & Résultat ~1 000 000 € |

La CNIL, dans sa délibération 2024-020 du 5 décembre 2024 (publiée sur Legifrance le 19 décembre 2024) a sanctionné à hauteur de 240 000 € les pratiques massives, abusives et illicites de data scraping de la société KASPR, start-up spécialisée dans l’extraction et l’enrichissement de données personnelles issues de profils “accessibles” —- mais “non disponibles” au public — sur des réseaux sociaux professionnels tels que LINKEDIN aux fins principalement de prospection commerciale et de recrutement.

Cette position de la CNIL est topique des exigences rigoureuses rappelées par la CNIL quant au respect de la lettre et de l’esprit du RGPD en matière de collecte de données personnelles sur des réseaux sociaux professionnels, qui imposent une transparence, une information et un encadrement clair de la durée de conservation.

La CNIL fonde son analyse principalement sur le fait que les personnes concernées, lorsqu’elles ont choisi de limiter la visibilité de leurs données dans LinkedIn, ne devaient pas voir leurs coordonnées aspirées et rendues accessibles à des tiers. Le fait que LinkedIn soit un réseau à vocation professionnelle ne suffit pas à justifier, selon l’ADP française, la présomption d’intérêt légitime de la part de KASPR.

Le principe de proportionnalité de la conservation et l’obligation de transparence sont renforcés lorsque l’on traite des données qui n’ont pas été directement fournies par les personnes concernées (article 14 RGPD).

Les débats autour de l’équilibre entre la finalité économique des données BtoB et les droits des personnes sont au cœur de cette décision et continueront d’alimenter la jurisprudence européenne.

 

CNIL SAN 2024-020 | Délibération du 5 décembre 2024 | KASPR.IO | Scraping de données de contacts LINKEDIN | RGPD articles 5, 6, 12, 14, 15 | Amende: 250.000 €│ Chiffre d’affaires: ~3 000 000 € Résultat ~1 000 000 € |

 

FONDEMENTS JURISPRUDENTIELS & REGLEMENTAIRES

 

1. CNIL
– Délibération SAN-2023-023 (29 décembre 2023)
– §87 : Condamnation de l’envoi d’informations exclusivement en anglais pour non-respect de l’article 12 RGPD.
– Délibération SAN-2022-022 (30 novembre 2022)
– §§105-106 : Exigence de précision dans les réponses aux demandes d’accès (art. 15 RGPD).

2. CJUE
– CJUE, Google v. CNIL, C-507/17 (24 septembre 2019)
– §25 : Limitation de l’application territoriale du RGPD aux personnes résidant dans l’UE.
– CJUE, Deutsche Wohnen, C-807/21 (5 décembre 2023)
– §§113-114 : Reconnaissance de la responsabilité pour négligence (art. 83.2(b) RGPD).
– CJUE, Volker und Markus Schecke, C-92/09 et 93/09 (9 novembre 2010)
– §40 : Données professionnelles = données personnelles dès qu’elles concernent une personne physique.

3. Lignes directrices ou référentiels du CEPD (EDPB)
– Lignes directrices 01/2022 sur le droit d’accès (28 mars 2023)
– §100-101 : Obligation de préciser les sources des données dans les réponses (art. 15 RGPD).
– Lignes directrices 04/2022 sur le calcul des amendes (24 mai 2023)
– §115 : Critères de proportionnalité et gravité des violations.
– Lignes directrices sur la transparence (Groupe “Article 29”, avril 2018)
– §§80, 87 : Nécessité d’une information active et non dissimulée (art. 12-13 RGPD).

4. Dispositions légales et réglementaires
RGPD
– Article 3.1 (§23) : Champ d’application territorial.
– Article 5.1.e (§§55-75) : Conservation proportionnée des données.
– Article 6.1.f (§§34-54) : Intérêt légitime et mise en balance des droits.
– Articles 12-14 (§§76-92) : Transparence et information des personnes.
– Article 15.1.g (§§93-106) : Droit d’accès aux sources des données.
– Article 83.2 (§110-128) : Critères pour déterminer le montant des amendes.

Loi française
– Loi n°78-17 Informatique et Libertés (modifiée) :
– Articles 20 et suivants (§7) : Bases juridiques de la sanction.
– Code de la sécurité intérieure (Art. L251-1 et suivants) :
– §4 : Mentionnée dans l’objet du contrôle initial.

5. Lignes directrices de la CNIL
– Publication sur la prospection B2B (18 mai 2009)
– §38 : Rappel de la licéité de la prospection professionnelle fondée sur l’intérêt légitime.
– Décision SAN-2023-023 (§87) : Refus de l’anglais comme langue unique pour l’information.

6. Référentiels de la CNIL
– Analyse d’impact (AIPD) :
– §44 : Obligation de documenter les risques liés à la collecte illicite.
– Privacy by design (art. 25 RGPD) :
– §98 : Nécessité de traçabilité des sources dès la conception du traitement.

7. Principes généraux du droit
– Principe de transparence (Art. 12 RGPD) :
– §§77-92 : Information claire et compréhensible.
– Accountability (Responsabilisation) :
– §98 : Obligation de documenter les flux de données.
– Proportionnalité (Art. 5.1.e RGPD) :
– §§68-75 : Critique de la conservation “dynamique” illimitée.