CNIL | SAN-2024-020 | 5 DÉCEMBRE 2024 | AFFAIRE KASPR |
KASPR | SCRAPING DE DONNÉES DE CONTACTS LINKEDIN
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
Le dispositif KASPR et son fonctionnement
Créée en 2018, la société KASPR développe et commercialise une extension pour le navigateur CHROME, disponible depuis le site kaspr.io, permettant à ses utilisateurs d’obtenir les coordonnées professionnelles — numéro de téléphone et adresse électronique — de personnes dont ils visitent le profil sur le réseau social LinkedIn. La société emploie trente-deux salariés et a réalisé des chiffres d’affaires croissants entre 2021 et 2023. Son siège social est situé au 38 rue Dunois à Paris (75013), ses bureaux opérationnels au 198 avenue de France dans le même arrondissement.
L’accès au service suppose l’achat de crédits dont le nombre est déterminé par le niveau d’abonnement souscrit par l’utilisateur, mensuel ou annuel. Chaque consultation d’un profil LinkedIn « consomme » un crédit et déclenche l’affichage des coordonnées de la personne ciblée, telles qu’elles figurent dans la base de données de KASPR. Les finalités déclarées de l’extension sont la prospection commerciale, le recrutement et la vérification d’identité.
La constitution de la base de données
La société collecte les données par trois canaux distincts. Le premier repose sur des fournisseurs tiers qui aspirent eux-mêmes des données depuis des sources professionnelles publiquement accessibles — LinkedIn, WHOIS, GitHub. Le deuxième canal est constitué par les annuaires des registres de noms de domaines, lesquels permettent de rechercher les informations relatives aux titulaires de noms de domaine. Le troisième canal, structurellement le plus problématique au regard du droit, est l’import des contacts LinkedIn de chaque utilisateur lors de l’activation de l’extension : lorsqu’un utilisateur synchronise KASPR avec son compte LinkedIn, l’extension récupère les coordonnées disponibles sur LinkedIn des contacts directs de cet utilisateur, y compris des coordonnées que ces contacts avaient délibérément restreintes à leurs seuls contacts au sein du réseau social.
Au moment du contrôle, environ 160 millions de contacts figuraient dans la base de données constituée par la société, dont un nombre significatif localisé au sein de l’Union Européenne, de la Norvège, de l’Islande et du Liechtenstein, l’origine géographique étant déterminée par l’adresse du lieu de travail.
Les deux catégories de personnes concernées
La délibération distingue soigneusement deux catégories de personnes concernées, dont les intérêts et les positions au regard du traitement sont fondamentalement différents. D’une part, les personnes cibles : personnes dont les coordonnées professionnelles ont été collectées par KASPR à partir de diverses sources et versées dans sa base de données, sans qu’elles aient nécessairement consenti ni même été informées de cette collecte. D’autre part, les utilisateurs de l’extension KASPR : clients de la société dont l’abonnement leur permet de visiter les profils LinkedIn des personnes cibles afin d’en obtenir les coordonnées. Les manquements retenus par la formation restreinte visent principalement les droits des personnes cibles.
I. Le manquement à la base légale (article 6 du RGPD)
La prétention de KASPR à l’intérêt légitime
La société invoquait la base légale de l’intérêt légitime, prévue à l’article 6, paragraphe 1, f) du RGPD, pour justifier l’ensemble de son traitement. Elle arguait que les utilisateurs de LinkedIn s’inscrivent sur ce réseau professionnel précisément pour bénéficier d’une mise en relation avec d’autres professionnels, ce qui rendrait la collecte de leurs coordonnées conforme à leurs attentes raisonnables. Elle ajoutait que ses clients bénéficient légitimement de l’accès à des coordonnées professionnelles pour des finalités telles que la prospection B2B ou le recrutement, et citait à l’appui une publication CNIL de 2009 sur la prospection commerciale vers les professionnels.
La société précisait par ailleurs que, parmi les quatre options de visibilité proposées par LinkedIn — (1) « uniquement visible par moi », (2) « tout le monde sur LinkedIn », (3) « relations de 1er niveau », (4) « relations de 1er et 2e niveaux » — elle ne procédait à la collecte des données que dans les cas où l’utilisateur avait rendu ses coordonnées visibles par ses relations de premier ou second niveau. Elle soutenait ainsi ne pas collecter les données des personnes ayant activé l’option « uniquement visible par moi ».
Le raisonnement de la formation restreinte
La formation restreinte a retenu le manquement en articulant un raisonnement en trois étapes. Elle a d’abord admis, à titre préliminaire, que l’intérêt commercial poursuivi par la société peut être qualifié de légitime et que la collecte apparaît nécessaire à la réalisation de cet intérêt. C’est donc uniquement sur le troisième critère du test d’intérêt légitime — la mise en balance avec les droits des personnes — que le manquement est caractérisé.
La formation restreinte relève que les personnes cibles ayant fait le choix de restreindre la visibilité de leurs coordonnées à leurs seules relations de premier ou second niveau ont exercé une liberté de choix qui s’impose nécessairement aux tiers. Le paramétrage délibéré de la visibilité sur LinkedIn équivaut à une forme d’opposition que la société n’est pas fondée à ignorer. Le fait d’avoir choisi de rendre ses coordonnées visibles par ses contacts au sein du réseau social ne revient pas à autoriser un tiers — KASPR — à les collecter et à les redistribuer à des inconnus. La formation restreinte souligne qu’aucune relation pertinente et appropriée au sens du considérant 47 du RGPD ne lie les personnes cibles à KASPR, dès lors qu’elles ne sont pas utilisatrices de l’extension mais simplement des contacts des clients qui l’utilisent.
Elle observe en outre que l’analyse d’impact réalisée par la société elle-même reconnaît que, le traitement étant invisible, les personnes cibles peuvent ne pas être conscientes que KASPR ou les utilisateurs finaux ont collecté leurs données. La société n’avait pris aucune mesure permettant de limiter le risque d’atteinte aux droits des personnes dont les coordonnées étaient collectées malgré leur choix de restreindre la visibilité.
Le périmètre du manquement à la base légale
Il convient de noter que le manquement à l’article 6 du RGPD ne vise pas l’intégralité de la base de données de KASPR. Le rapporteur a expressément limité ce grief aux données collectées sur LinkedIn des personnes ayant fait le choix de restreindre la visibilité de leurs coordonnées. Les données collectées depuis d’autres sources — WHOIS, GitHub, registres de noms de domaine — ne sont pas visées par ce manquement spécifique. La formation restreinte précise également que la circonstance que la base de données soit constituée de coordonnées professionnelles demeure sans incidence sur le caractère personnel de ces données lorsqu’elles se rapportent à des personnes physiques, citant à cet égard la jurisprudence constante de la CJUE (CJUE, 9 novembre 2010, Volker e.a., aff. jtes C-92/09 et C-93/09, pt. 59).
II. Le manquement à la durée de conservation (article 5-1-e du RGPD)
Le système de conservation de KASPR
KASPR conservait les coordonnées des personnes cibles pendant cinq ans à compter de chaque mise à jour des données. Or, les données sont généralement mises à jour lorsqu’une personne change de poste ou d’employeur. Ce mécanisme présentait une conséquence structurelle problématique : pour les personnes qui changent de poste ou d’employeur dans un délai inférieur à cinq ans, le renouvellement du délai de conservation à chaque mise à jour conduisait à une conservation de leurs données pour une durée totale potentiellement très supérieure à cinq ans, voire indéfinie, dès lors que les personnes actives changent fréquemment de situation professionnelle tout au long de leur carrière.
L’appréciation de la proportionnalité
L’article 5, paragraphe 1, e) du RGPD impose que les données à caractère personnel soient conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. La formation restreinte a considéré que, pour les personnes dont les données sont mises à jour régulièrement du fait de changements professionnels fréquents, ce mécanisme de renouvellement automatique aboutissait à une conservation disproportionnée au regard des finalités du traitement — la prospection commerciale et le recrutement —, qui ne justifient pas une conservation illimitée de coordonnées professionnelles devenues potentiellement obsolètes. La durée de conservation de cinq ans était donc, en soi, potentiellement acceptable pour des données stables, mais le mécanisme de renouvellement automatique à chaque mise à jour conduisait à une durée globale excessive.
III. Le manquement à l’obligation de transparence et d’information (articles 12 et 14 du RGPD)
L’absence prolongée d’information
L’article 14 du RGPD oblige le responsable du traitement qui collecte des données à caractère personnel non pas directement auprès de la personne concernée, mais auprès d’une source tierce, à fournir à cette personne des informations spécifiques dans un délai raisonnable, au plus tard dans le délai d’un mois après avoir obtenu les données, ou au moment de la première communication avec la personne concernée.
La société KASPR n’a commencé à informer les personnes concernées de la collecte de leurs données qu’en 2022, soit quatre ans après la mise en œuvre de l’extension, créée en 2018. Pendant quatre ans, environ 160 millions de personnes dont les coordonnées figuraient dans la base de données de KASPR n’avaient reçu aucune information sur ce traitement, en violation directe des obligations de l’article 14 du RGPD.
L’information tardive insuffisante et en langue étrangère
Lorsque KASPR a finalement commencé à informer les personnes concernées en 2022, l’information s’effectuait par l’envoi d’un courriel rédigé en langue anglaise, renvoyant vers un lien permettant de s’opposer au traitement. La formation restreinte a considéré que ce mode d’information était doublement insuffisant au regard des exigences de l’article 12 du RGPD.
D’une part, l’article 12 impose que les informations soient communiquées de manière concise, transparente, compréhensible et aisément accessible. Le fait d’adresser un courriel rédigé exclusivement en anglais à des personnes dont les coordonnées indiquent qu’elles sont localisées dans des pays non anglophones — notamment en France — ne satisfait pas à l’exigence de communication compréhensible. Une information n’est compréhensible au sens du RGPD que si elle est rédigée dans une langue que la personne concernée maîtrise réellement ou peut raisonnablement maîtriser.
D’autre part, concernant l’obligation de l’article 14, paragraphe 2, f) du RGPD de fournir à la personne concernée « toute information disponible quant à la source des données », la formation restreinte a retenu que lorsque des personnes ayant fait l’objet de démarchage interrogeaient KASPR sur la provenance de leurs coordonnées, la société se contentait de leur indiquer que leurs données avaient été collectées « à partir de sources publiquement accessibles », sans préciser lesquelles. Or, la formation restreinte a estimé que, même si KASPR était dans l’incapacité technique d’identifier la source exacte pour chaque personne, elle avait connaissance d’une partie des sources alimentant sa base, qui étaient d’ailleurs répertoriées dans sa politique de confidentialité. Elle était donc en mesure de fournir des informations plus précises.
IV. Le manquement au droit d’accès (article 15 du RGPD)
La réponse insuffisante aux demandes d’accès
L’article 15 du RGPD confère à toute personne concernée le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès à ces données ainsi que diverses informations, notamment la source des données collectées indirectement.
Lorsque des personnes qui avaient été démarchées par des utilisateurs de l’extension KASPR — par voie électronique ou téléphonique — exerçaient leur droit d’accès auprès de la société, cette dernière se contentait d’indiquer que leurs coordonnées avaient été collectées « à partir de sources publiquement accessibles », sans mentionner la ou les sources spécifiques. La formation restreinte a jugé cette réponse insuffisante au regard des obligations de l’article 15, paragraphe 1, g) du RGPD qui impose la communication « de toute information disponible quant à leur source » lorsque les données n’ont pas été collectées auprès de la personne concernée. Dès lors que KASPR connaissait les sources alimentant sa base — LinkedIn, WHOIS, GitHub, registres de noms de domaine — et les avait d’ailleurs listées dans sa politique de confidentialité, elle était tenue de communiquer ces informations aux personnes qui en faisaient la demande, même si elle n’était pas en mesure d’identifier la source précise pour chaque individu.
V. Les moyens de défense de KASPR
Sur le périmètre géographique et la compétence
La société a soulevé une exception de compétence concernant les données des personnes localisées en dehors de l’Union européenne, invoquant l’arrêt de la CJUE du 24 septembre 2019 (CJUE, Google, C-507/17) sur la portée territoriale du droit au déréférencement. Elle a également contesté la qualification d’autorités « concernées » des homologues européens de la CNIL pour les personnes localisées en Suède, en Hongrie et dans le land de Saxe, celles-ci s’étant déclarées non concernées dans le formulaire Article 56.
La formation restreinte a écarté ces arguments. Elle a rappelé que l’établissement unique de KASPR se trouve en France, que la CNIL est donc l’autorité chef de file, et que le formulaire Article 56 n’a pour objet que de porter à la connaissance des autres autorités l’ouverture d’un dossier par l’autorité chef de file, sans déterminisme quant à leur qualification d’autorités concernées. Elle a souligné que c’est la présence dans la base de données de contacts localisés sur le territoire d’un État membre qui détermine la qualité d’autorité concernée. Sur la portée territoriale du RGPD, la formation restreinte a distingué le cas d’espèce de l’arrêt Google sur le déréférencement : dans cet arrêt, la mise en balance portait sur des droits de personnes situées hors de l’UE, qui n’étaient pas parties au traitement. En l’espèce, les personnes localisées hors de l’UE voient leurs données collectées et traitées par une société soumise au RGPD, en tant que personnes directement concernées par le traitement.
Sur la base légale et les attentes raisonnables
La société a fait valoir, d’une part, que son traitement est fondé sur l’intérêt légitime dès lors que la prospection commerciale B2B correspond précisément à l’usage prévu d’un réseau professionnel. D’autre part, elle a soutenu que ses propres clients — les utilisateurs de l’extension — disposent eux-mêmes d’un intérêt légitime à accéder à ces coordonnées. Elle a par ailleurs arguementé que les risques d’hameçonnage et d’usurpation d’identité soulevés par le rapporteur étaient hypothétiques et sans lien établi avec son activité.
La formation restreinte a retenu que si l’intérêt commercial de KASPR peut être qualifié de légitime, cela ne suffit pas à fonder le traitement lorsque les personnes concernées ont exercé leur droit de restreindre la visibilité de leurs données. Le choix délibéré de masquer ses coordonnées constitue une forme d’opposition qui prime sur l’intérêt légitime de l’opérateur.
Sur la durée de conservation
La société n’a pas contesté en substance le principe d’une durée de cinq ans, mais a soutenu que ce mécanisme était justifié par les finalités de prospection et de recrutement. La formation restreinte a néanmoins retenu que le renouvellement automatique de la durée à chaque mise à jour des données conduisait à une conservation disproportionnée pour les personnes qui changent fréquemment d’employeur.
Sur l’information et le droit d’accès
KASPR a reconnu le retard dans la mise en œuvre de son dispositif d’information, tout en faisant valoir que ce retard résultait du caractère innovant de son modèle économique et des difficultés techniques à identifier et contacter 160 millions de personnes. Sur la langue, elle a indiqué que la plupart des professionnels dont les coordonnées figurent dans sa base maîtrisent l’anglais. La formation restreinte n’a pas retenu ces justifications, considérant que la maîtrise de l’anglais ne peut être présumée de l’ensemble des personnes dont les données sont traitées et que l’obligation d’information s’impose dès la collecte, sans délai de quatre ans.
VI. La dimension européenne de la procédure
Le mécanisme de cohérence et la coopération
Conformément à l’article 60 du RGPD, la CNIL en sa qualité d’autorité chef de file a, le 19 septembre 2023, informé l’ensemble des autorités de contrôle européennes de sa compétence. Le projet de décision adopté par la formation restreinte a été transmis aux autorités concernées — notamment l’autorité suédoise, l’autorité hongroise et l’autorité allemande compétente pour le land de Saxe — le 5 novembre 2024, en vue de leur permettre de formuler des objections pertinentes et motivées. Au 4 décembre 2024, aucune de ces autorités n’avait formulé d’objection, de sorte qu’en application de l’article 60, paragraphe 6 du RGPD, elles sont réputées avoir approuvé le projet de décision. La délibération a donc été adoptée en coopération avec l’ensemble des homologues européens de la CNIL.
La portée transfrontalière des manquements
La délibération illustre la complexité de la gouvernance des traitements transfrontaliers opérés par des entreprises établies dans un seul État membre mais dont la base de données contient des données de ressortissants de nombreux États membres. Elle confirme que le mécanisme du guichet unique ne confère pas à l’autorité chef de file une compétence exclusive sur les seules personnes localisées dans son État : la compétence de la CNIL en qualité de chef de file s’étend à l’ensemble du traitement transfrontalier, pour toutes les personnes concernées, quelle que soit leur localisation dans l’Union. La formation restreinte précise que, conformément à l’article 83, paragraphe 2, a) du RGPD, il convient de prendre en compte le fait que la société traite 160 millions de contacts dans la détermination de la gravité des manquements.
VII. Le régime normatif de l’intérêt légitime appliqué aux courtiers en données
La structure du test d’intérêt légitime
La délibération offre une application méthodique du test tripartite de l’intérêt légitime tel qu’il résulte de l’article 6, paragraphe 1, f) du RGPD et du considérant 47 : (i) légitimité de l’intérêt poursuivi ; (ii) nécessité du traitement pour la réalisation de cet intérêt ; (iii) mise en balance avec les droits et intérêts des personnes concernées, compte tenu de leurs attentes raisonnables.
La formation restreinte admet les deux premiers éléments — l’intérêt commercial de KASPR et de ses clients est légitime, la collecte de coordonnées est nécessaire à la réalisation de cet intérêt — et concentre son analyse sur le troisième. Ce faisant, elle articule une distinction fondamentale : les personnes qui ont rendu leurs coordonnées publiques à l’ensemble des utilisateurs de LinkedIn peuvent légitimement s’attendre à ce que ces données soient accessibles à des tiers, y compris via des extensions commerciales. En revanche, les personnes qui ont délibérément restreint la visibilité de leurs données ne peuvent pas raisonnablement s’attendre à ce que leurs choix soient contournés.
Le principe de respect du paramétrage de confidentialité
La délibération pose un principe à portée générale : le choix délibéré d’une personne de restreindre la visibilité de ses données sur une plateforme constitue une expression de son droit d’opposition, qui s’impose aux tiers. Cette position s’inscrit dans la logique du considérant 47 du RGPD, selon lequel la base légale de l’intérêt légitime doit être appréciée notamment au regard de la question de savoir si la personne concernée peut raisonnablement s’attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce qu’une opération de traitement soit effectuée à cette fin.
Elle a des implications significatives pour l’ensemble des acteurs qui aspirent des données depuis des plateformes de réseaux sociaux : le fait que des données soient techniquement accessibles via une API ou via la synchronisation de contacts ne rend pas leur collecte licite si la personne concernée a exprimé, par son paramétrage, une volonté de restreindre l’accès à ces données. La licéité de la collecte doit s’apprécier non seulement au regard de l’accessibilité technique des données, mais aussi au regard de l’intention exprimée par la personne concernée via ses choix de paramétrage.
L’économie de plateforme et la fictio de la donnée publique
La décision KASPR s’inscrit dans un contexte plus large de questionnement sur la notion de « donnée accessible au public » dans l’environnement des réseaux sociaux professionnels. La formation restreinte refuse d’assimiler la donnée « accessible à des tiers via les paramètres d’une plateforme » à une donnée « rendue publique » au sens traditionnel du terme. Cette distinction est cardinale pour tout l’écosystème des sociétés qui fondent leur modèle sur l’exploitation de données issues de réseaux sociaux, en retenant que la portée de la publicité d’une donnée est déterminée par le choix de la personne concernée, et non par la seule possibilité technique d’y accéder.
VIII. Le cadre juridique de l’obligation d’information envers les personnes concernées indirectement
L’article 14 du RGPD : une obligation structurante pour les courtiers en données
L’article 14 du RGPD impose des obligations spécifiques aux responsables du traitement qui collectent des données non pas directement auprès des personnes concernées, mais via des sources tierces. Ces obligations sont particulièrement contraignantes pour les courtiers en données, dont le modèle économique repose précisément sur cette collecte indirecte. La formation restreinte rappelle que l’obligation d’information doit être satisfaite dans un délai raisonnable, au plus tard dans le délai d’un mois après la collecte des données, et au plus tard lors de la première communication avec la personne concernée.
Le retard de quatre ans dans la mise en œuvre de son dispositif d’information par KASPR constitue donc une violation manifeste et prolongée de l’article 14. La formation restreinte souligne que cette violation a affecté potentiellement l’ensemble des 160 millions de personnes dont les données figuraient dans la base, pendant quatre années.
La langue de l’information comme vecteur de compréhensibilité
La question de la langue de l’information, bien qu’elle puisse paraître technique, est fondamentale au regard de l’objectif de protection du RGPD. L’article 12 impose que l’information soit fournie « de façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples ». Ces exigences ne peuvent être satisfaites que si l’information est délivrée dans une langue que la personne concernée est réellement en mesure de comprendre. La présomption d’une maîtrise généralisée de l’anglais au sein d’une population de 160 millions de professionnels de l’Union européenne est rejetée par la formation restreinte comme une hypothèse non vérifiée qui ne saurait tenir lieu de respect de l’obligation légale.
La source des données : une information due mais difficile à préciser
L’article 14, paragraphe 2, f) et l’article 15, paragraphe 1, g) obligent tous deux le responsable du traitement à communiquer, lorsque les données n’ont pas été collectées directement auprès de la personne concernée, « toute information disponible quant à la source des données ». La formation restreinte adopte une lecture pragmatique de cette obligation : KASPR ne peut certes pas toujours identifier avec précision la source exacte d’une donnée individuelle, mais elle connaît les catégories de sources qui alimentent sa base. Ces informations, qui sont d’ailleurs répertoriées dans sa propre politique de confidentialité, devaient être communiquées aux personnes qui en faisaient la demande. L’obligation porte sur les informations disponibles, et non sur une traçabilité individuelle exhaustive que le système technique de KASPR n’était peut-être pas en mesure de fournir.
IX. Les implications structurelles pour l’économie des données professionnelles
Le modèle des extensions d’aspiration de données mis à l’épreuve du RGPD
La délibération SAN-2024-020 s’inscrit dans une série de décisions européennes qui questionnent le modèle économique des sociétés dont l’activité repose sur l’agrégation et la commercialisation de données issues de sources tierces, notamment des réseaux sociaux professionnels. La décision LUSHA (SAN-2022-024), par laquelle la formation restreinte avait estimé que le RGPD n’était pas applicable, tranchait une question de compétence différente liée à l’établissement du responsable du traitement. La décision KASPR est la première à examiner au fond, en tant qu’autorité chef de file dans le cadre du mécanisme de cohérence, les obligations substantielles pesant sur ces acteurs.
L’exigence de granularité dans l’appréciation de la licéité
La décision illustre une exigence de granularité dans l’appréciation de la licéité des collectes réalisées par des courtiers en données depuis des sources plurielles. La formation restreinte ne condamne pas l’ensemble de la base de données de KASPR, mais circonscrit le manquement aux données collectées via le mécanisme de synchronisation LinkedIn pour les personnes ayant restreint la visibilité de leurs coordonnées. Cette approche fine oblige les acteurs concernés à opérer une segmentation de leur base selon la source et les conditions de collecte de chaque donnée, et à s’assurer que chaque segment repose sur une base légale valide.
Les obligations corrélatives de mise en conformité
Les injonctions prononcées par la formation restreinte — cesser de collecter les données des personnes ayant choisi de limiter la visibilité de leurs coordonnées, supprimer les données collectées de cette manière, ou à défaut informer les personnes concernées et les laisser s’opposer, cesser le renouvellement automatique de la durée de conservation, informer les personnes dans une langue qu’elles maîtrisent, répondre aux demandes d’accès de manière complète — définissent un standard opérationnel contraignant pour l’ensemble des acteurs du secteur. Ces injonctions, assorties d’un délai de six mois expirant le 18 juin 2025, formalisent un état de l’art applicable à toute société dont le modèle économique repose sur la collecte et la commercialisation de coordonnées professionnelles issues de réseaux sociaux.
POINTS ESSENTIELS
27.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats