ABSTRACT
La CNIL, dans sa délibération 2024-020 du 5 décembre 2024 (publiée sur Legifrance le 19 décembre 2024) a sanctionné à hauteur de 240 000 € les pratiques massives, abusives et illicites de data scraping de la société KASPR, start-up spécialisée dans l’extraction et l’enrichissement de données personnelles issues de profils “accessibles” —- mais “non disponibles” au public — sur des réseaux sociaux professionnels tels que LINKEDIN aux fins principalement de prospection commerciale et de recrutement. A la date du contrôle CNIL, la base de données KASPR représentait environ 160 millions de « contacts » (c’est-à-dire de fiches associées à des personnes physiques), dont une part substantielle se situe dans l’Espace Économique Européen (UE + Islande, Liechtenstein, Norvège).
KASPR collectait les données personnelles des cibles Linkedin en utilisant plusieurs canaux, à savoir, par:
– l’importation dans la base de données KASPR de TOUS les contacts LinkedIn des utilisateurs de l’extension KASPR par synchronisation immédiate des informations de leurs contacts LINKEDIN à l’installation du module, y compris les données de leurs contacts paramétrées pour être masquées au reste du public des visiteurs de Linkedin et uniquement visibles par le client KASPR en sa qualité de “relation de 1er ou de 2nd niveau”
– la transmission de données provenant de fournisseurs tiers utilisant également des techniques de scraping sur des sources accessibles publiquement (LinkedIn, Whois, GitHub).
– la collecte d’information provenant d’annuaires professionnels et registres de noms de domaines.
KASPR, en l’espèce, procédait — automatiquement et dès l’installation du module adhoc Chrome par le client — à un data scraping des données de contacts issues des profils LINKEDIN de ses propres clients utilisateurs — comprenant nom, prénom, numéros de téléphone portables, adresses e-mail, url de linkedin et d’autres réseaux sociaux (whatsapp, instagram, facebook…) profession, employeur, entreprise, poste occupé, date d’embauche et de fin de poste, formation, carrière, adresses postales du lieu de travail... — alors même que les contacts de ces clients KASPR avaient pourtant expressément restreint la visibilité de leurs informations aux seules “relations 1er/2e niveaux”.
La collecte des données des contacts Linkedin des relations des clients KASPR ayant expressément restreint leur visibilité allait clairement à l’encontre de leurs attentes raisonnables et portait une atteinte grave à l’intimité de leur vie privée et de celles de leurs contacts dans la mesure où KASPR commettait ce scraping à l’insu de ces derniers et en violation patente et volontaire des paramètres de confidentialité Linkedin qu’ils avaient bien pris la peine d’éditer.
Cette affaire vient dans le prolongement de la jurisprudence ancienne (NESTOR CNIL SAN-2020-018), contestable (LUSHA CNIL SAN-2022-024), inopérante et sans effets (CLEARVIEW SAN-2022-019), de la CNIL relative aux pratiques illicites du scraping de données personnelles.
La formation restreinte de la CNIL a constaté les manquements suivants :
Absence de base légale pour le traitement des données : KASPR collectait et traitait les données personnelles sans disposer d’une base légale valide; KASPR invoquait un intérêt légitime, mais la CNIL a estimé que cet intérêt ne prévalait pas sur les droits et libertés fondamentaux des personnes concernées, notamment en raison du caractère particulièrement intrusif du traitement.
Défaut d’information des personnes concernées : les obligations d’information prévues par les articles 12 et 14 du RGPD n’étaient pas respectées; Les utilisateurs dont les données étaient collectées via les réseaux sociaux n’étaient, en effet, jamais informés de manière claire et accessible, notamment sur les finalités du traitement, la durée de conservation ou leurs droits.
Non-respect du droit d’opposition : KASPR n’a pas mis en place de mécanismes efficaces permettant aux personnes concernées de s’opposer au traitement de leurs données personnelles, comme prévu à l’article 21 du RGPD.
Manquement à l’obligation d’effectuer une analyse d’impact relative à la protection des données (AIPD) : compte tenu des risques élevés pour les droits et libertés des personnes concernées (notamment en raison du profilage), KASPR aurait dû réaliser une AIPD conformément à l’article 35 du RGPD et son défaut témoigne d’un manque d’anticipation et d’évaluation des risques liés au traitement.
Durée excessive de conservation des données : les données collectées étaient conservées pendant une durée excessive, en violation du principe de limitation de conservation prévu à l’article 5(1)(e) du RGPD.
La CNIL a sanctionné KASPR d’une amende administrative de 250 000 euros, accompagnée d’une injonction sous astreinte de 10 000 euros/ jour de retard visant à mettre ses traitements en conformité avec le RGPD dans un délai de 6 mois, aux fins de cessation de toute collecte non conforme, de définition d’une durée de conservation proportionnée sans reconduction automatique, d’information des personnes dans une langue qu’elles comprennent, et de réponse précise et adéquate aux demandes de droit d’accès.
La formation restreinte a motivé les sanctions en prenant en considération plusieurs facteurs aggravants, à savoir: le caractère systématique des manquements, l’ampleur du traitement, et le nombre important de personnes concernées.
MANQUEMENTS SANCTIONNES | MOTIVATION DE LA CNIL
1. Compétence de la CNIL et mécanisme de guichet unique
La CNIL s’estime compétente pour agir en tant qu’autorité « chef de file », au motif que KASPR est établi en France et effectue un traitement transfrontalier, notamment avec certains Etats de l’EEE (Norvège…).
On pourrait contester la classification du traitement comme « transfrontalier » si la base est administrée en France et que les transferts à l’étranger ne sont pas systématiques. Néanmoins, la CNIL semble avoir justifié que les données portent sur des personnes établies dans plusieurs États membres et que les services sont accessibles dans différents pays; la CNIL a appliqué l’article 56 du RGPD et informé les autres autorités qui n’ont émis aucune objection « pertinente et motivée».
La CNIL note que KASPR ne peut ignorer les exigences du RGPD pour les personnes hors UE, dès lors qu’elle est établie au sein de l’UE (application de l’article 3(1) du RGPD) et lui rappelle que l’obligation de respecter le RGPD touche toutes les données traitées par un établissement localisé dans l’UE.
2. Absence de base légale (article 6 du RGPD)
Les personnes dont les coordonnées étaient paramétrées comme « non visibles » (uniquement pour certains cercles sur LinkedIn) n’ont ni consenti à la collecte ni pu raisonnablement s’y attendre. KASPR tente de justifier le traitement par l’intérêt légitime (finalité de prospection ou de recrutement), considérant que LinkedIn est un réseau social conçu pour le networking professionnel et que la finalité d’une extension proposant des coordonnées professionnelles s’inscrit dans la même logique, et ajoutant que seuls les contacts de 1er ou 2e niveau, qui ont choisi un certain degré de visibilité, seraient théoriquement aspirés.
Or, la CNIL constate que si l’utilisateur LinkedIn a pris la peine de paramétrer la visibilité de son relationnel, et ainsi la restreindre aux seuls cercles de 1er et 2nd niveaux, cela marque une volonté expresse, affichée et évidente de sa part qui définit par suite précisément quelles sont ses attentes raisonnables.
La CNIL considère que de ne pas en tenir compte et de passer délibérément outre cette volonté expresse des personnes concernées va à l’encontre des droits et libertés de la personne; elle estime qu’une autorisation de diffusion circonscrite et non une interdiction totale de diffusion ne saurait être considéré comme si la personne engagée sur un réseau social professionnel acceptait nécessairement le risque de voir ses informations collectées par des applications tierces.
Les intérêts et droits fondamentaux des personnes priment sur l’intérêt commercial de KASPR.
3. Durée de conservation (article 5-1-e du RGPD)
Politique initiale inexistante. Puis apparition d’une durée de 5 ans, prolongée à chaque mise à jour du profil, jugée excessive pour des contacts qui n’ont pas de relation contractuelle avec KASPR et qui ignorent tout du traitement.
KASPR, pour maintenir à jour ses informations, considérait qu’il se trouvait dans l’impossibilité de déterminer la période « d’inactivité » d’une personne – dès lors que dans les faits, ce n’est pas un service auquel la personne a souscrit volontairement. KASPR ajoutait que la position de la CNIL (« 5 ans non reconductibles automatiquement ») pouvait être discutable, en soutenant que le RGPD n’impose pas un plafond de 5 ans dans l’absolu, mais un principe de proportionnalité et de mise à jour. Par suite, si l’information reste exacte, la conserver pourrait demeurer pertinente pour la finalité poursuivie (prospection). Pour KASPR, cette « mise à jour dynamique » est précisément ce qui garantit l’actualité de la base, et ce mécanisme est au contraire un gage de fiabilité des informations présentes dans la base.
La CNIL retient néanmoins qu’il n’y a pas de « point de fin » de la relation permettant d’éviter une conservation potentiellement illimitée.
4. Défaut d’information (articles 12 et 14 du RGPD)
L’article 14 du RGPD prévoit une information « dans un délai raisonnable » lorsque les données n’ont pas été recueillies auprès de la personne concernée. Il aurait donc fallu, de manière plus proactive, fournir les mentions minimales. Pendant environ 4 ans, aucune information directe n’était transmise aux personnes (malgré la possession de l’e-mail). Dès 2022, KASPR a introduit l’envoi d’un courriel d’information en anglais, ce que la CNIL juge insuffisant pour tous les usagers susceptibles de ne pas maîtriser cette langue.
On pouvait légitimement imaginer que le public cible de KASPR qui est très international, maîtrisait a minima la langue anglaise, d’autant que LinkedIn est souvent utilisé en anglais par défaut.
Toutefois, la CNIL impose dans sa jurisprudence récente que lorsqu’un traitement est susceptible de concerner des personnes dans plusieurs pays, l’information soit accessible dans plusieurs langues. C’est pourquoi elle a considéré que KASPR avait manqué au principe de transparence et aux dispositions de l’article 14 du RGPD.
5. Droit d’accès (article 15 du RGPD)
L’article 15 requiert « toute information disponible quant à la source » lorsque la collecte est indirecte.
KASPR ne communiquait pas précisément la source (ex. tel fournisseur, ou tel registre) mais restait au niveau d’une information général (ex. « sources publiques »); elle avançait que la source était parfois multiple ou imprécise (les informations concernant le contact cible pouvant provenir de LinkedIn, des annuaires, de registres, etc.) et que par suite, ne pouvant tracer l’origine exacte de chaque contact, KASPR estimait que l’effort pour y parvenir serait disproportionné, au vu de la complexité du système de collecte, et que fournir une information dite « granulée » soulevait un vrai défi technique
La CNIL lui rappelait néanmoins le verbatim de l’article 15 du RGPD qui impose de fournir « toute information disponible quant à leur source » lorsque la collecte est indirecte, et sanctionnait KASPR pour avoir fait preuve d’une certaine légèreté sinon négligence
6. Montant de la sanction
Justification : Gravité et durée des manquements, modèle économique reposant précisément sur la collecte de ces données, y compris celles considérées comme aspirées illicitement, importance du bénéfice financier tiré de cette base de données, nombre élevé de personnes affectées (jusqu’à 160 millions de contacts).
SANCTIONS PROPOSEES PAR LE RAPPORTEUR EN AUDIENCE
Amende proposée: 400.000 euros
Injonction de mettre fin à l’ensemble des manquements rapportés au RGPD
Publicité de la sanction
SANCTIONS
Amende administrative d’un montant de 240.000 euros au regard des manquements constitués aux articles 5-1-e), 6, 12, 14 et 15 du RGPD
Injonction d’une astreinte de dix mille euros (10 000 €) par jour de retard à l’issue d’un délai de six mois:
– de cesser de collecter des données des contacts des utilisateurs de KASPR ayant choisi de limiter la visibilité de leurs coordonnées ;
– de supprimer l’ensemble des données de contacts importées lors de la synchronisation des comptes LinkedIn des utilisateurs ayant choisi de limiter la visibilité de leurs coordonnées ou à défaut, en cas d’impossibilité de distinguer ces données dont la visibilité a été limitée des autres données, de les informer, dans un délai de 3 mois, du traitement de leurs données et de la possibilité de s’y s’opposer et de n’utiliser les données que dans ce but ;
– de cesser de renouveler automatiquement la durée de conservation de 5 ans des données des personnes cibles dès la mise à jour de leur profil et ne conserver les données que pour une durée proportionnée au traitement ;
– d’informer les personnes concernées de l’ensemble des mentions prévues à cet article dans une langue qu’ils maîtrisent ;
– de faire suite aux demandes de droit d’accès des personnes en leur fournissant toute information disponible quant à la source qui a permis le versement de leurs données de contacts dans la base de données de la société ;
– et de faire droit aux demandes de droit d’accès des personnes à l’origine des saisines […] dans les mêmes conditions, avant suppression des données relatives aux saisines […].
Publicité de la décision sur le site web de la CNIL et sur le site web de Légifrance avec anonymisation à l’issue d’une durée de deux ans à compter de sa publication.
CONTEXTE JURISPRUDENTIEL
La décision de la CNIL s’inscrit dans un contexte jurisprudentiel bien établi qui a contribué à définir les limites légales de la pratique du scaping de données :
CLEARVIEW SAN-2022-019: la CNIL a prononcé une amende de 20 millions d’euros à la société américaine Clearview AI pour avoir collecté des photographies et des images de millions de personnes en ligne via le scraping, sans base légale ni information préalable aux individus concernés.
NESTOR FRANCE SAN-2020-018: La CNIL a sanctionné la société Nestor à hauteur de 20 000 euros pour avoir utilisé des données personnelles collectées via scraping sur LinkedIn à des fins de prospection commerciale sans consentement préalable.