CNIL | SAN-2024-020 | 5 décembre 2024 | Affaire KASPR | CONSEILS

---

PARTIE I — CONSEILS AUX RESPONSABLES DE TRAITEMENT

 

1. CARTOGRAPHIER RIGOUREUSEMENT LES SOURCES DE COLLECTE ET RESPECTER LES PARAMÈTRES DE CONFIDENTIALITÉ DES PERSONNES

La délibération SAN-2024-020 établit avec clarté que la présence d’une donnée personnelle dans un espace accessible via internet ne suffit pas à en faire une donnée « publique » librement collectible et commercialisable. Tout responsable du traitement qui entend alimenter une base de données à partir de réseaux sociaux — et en particulier à partir de LinkedIn — doit impérativement prendre en compte les paramètres de confidentialité choisis par les personnes concernées. Le fait qu’une personne ait restreint la visibilité de ses coordonnées professionnelles aux seuls membres de son réseau direct constitue une manifestation non équivoque de sa volonté de ne pas les voir diffusées auprès de tiers indéterminés. Collecter ces données malgré cette restriction expose le responsable du traitement à un manquement à l’article 6 du RGPD, la base légale de l’intérêt légitime ne pouvant prospérer lorsque les droits et attentes légitimes de la personne prévalent.

Il convient donc, en amont de toute opération de collecte, de mettre en place des mécanismes techniques permettant de distinguer les données selon le niveau de visibilité choisi par leur détenteur, et de n’intégrer dans la base de données que celles dont la visibilité est réellement ouverte. Le responsable du traitement doit documenter ce processus dans son registre des activités de traitement (article 30 du RGPD) et être en mesure de démontrer, à tout moment, que sa base est exempte de données collectées en violation des paramètres de confidentialité.

2. DÉFINIR ET APPLIQUER DES DURÉES DE CONSERVATION STRICTEMENT PROPORTIONNÉES — PROSCRIRE LE RENOUVELLEMENT AUTOMATIQUE

L’un des manquements les plus révélateurs de la délibération KASPR est le mécanisme de renouvellement automatique de la durée de conservation. La société avait défini une durée nominale de cinq ans, mais avait programmé son système de telle sorte que cette durée repartait à zéro à chaque mise à jour des données — typiquement lors d’un changement de poste ou d’employeur de la personne concernée. La formation restreinte a clairement condamné ce dispositif, qui permettait de conserver indéfiniment des données sous couvert d’actualisation.

Les responsables de traitement dont les bases de données font l’objet de mises à jour régulières doivent distinguer soigneusement la date de collecte initiale de la donnée, la date de mise à jour, et la durée de conservation applicable. Celle-ci doit être calculée à compter de la date de collecte initiale ou d’un événement objectif et justifiable (fin de relation commerciale, clôture d’un dossier, etc.), et non réinitialisée automatiquement à chaque modification. Des procédures de purge automatisées doivent être mises en place et testées régulièrement, et leur bon fonctionnement doit être documenté.

Il est recommandé de formaliser une politique de conservation des données claire, accessible, documentée, distinguant pour chaque catégorie de données la finalité du traitement, la durée de conservation applicable, l’archivage intermédiaire le cas échéant, et les modalités de suppression effective. Cette politique doit être opposable en interne et communiquée de façon transparente dans les mentions d’information.

3. METTRE EN PLACE UN DISPOSITIF D’INFORMATION CONFORME AUX ARTICLES 12 ET 14 DU RGPD DÈS LA MISE EN ŒUVRE DU TRAITEMENT

La délibération KASPR sanctionne non seulement l’absence totale d’information pendant quatre années, mais aussi la forme de l’information délivrée — un courriel en langue anglaise. Ces deux aspects doivent retenir toute l’attention des responsables du traitement qui collectent des données personnelles par voie indirecte (c’est-à-dire sans interaction directe avec la personne concernée).

L’obligation d’information prévue par l’article 14 du RGPD impose de fournir les informations requises « dans un délai raisonnable après avoir obtenu les données à caractère personnel, mais ne dépassant pas un mois ». Ce délai est contraignant et doit être respecté dès la mise en œuvre du traitement. Il ne peut être satisfait par une communication différée de plusieurs années, quand bien même la société ferait valoir des contraintes opérationnelles.

Sur la forme, la Commission a clairement posé que l’information doit être fournie dans une langue que la personne concernée est en mesure de comprendre. Pour un traitement opérant principalement en France, les communications RGPD doivent être rédigées en français. Les responsables de traitement dont les opérations sont multinationales devront adapter leurs communications à la langue de chaque groupe de personnes concernées, en s’appuyant sur les données de localisation disponibles. Il est préconisé de disposer d’un modèle d’information à jour, traduit dans les langues des personnes concernées, et de l’adresser au moyen d’un canal adapté (courriel, notification, ou, lorsque l’adresse électronique n’est pas disponible, par l’un des autres moyens prévus par l’article 14, §5 du RGPD).

4. ORGANISER UN PROCESSUS DE TRAITEMENT DES DEMANDES D’ACCÈS CONFORME À L’ARTICLE 15 DU RGPD

La formation restreinte a condamné la pratique consistant à répondre aux demandes d’accès par une formule générique renvoyant à « des sources publiquement accessibles » sans préciser lesquelles. Les responsables de traitement doivent organiser, en amont, un processus leur permettant de répondre de façon substantielle et traçable aux demandes d’exercice des droits.

S’agissant du droit d’accès, les informations à communiquer en vertu de l’article 15 du RGPD comprennent notamment « toute information disponible quant à la source » des données. Le responsable du traitement ne saurait se retrancher derrière une prétendue incapacité technique lorsqu’il dispose par ailleurs — notamment dans sa politique de confidentialité ou dans son registre de traitement — de la liste des sources alimentant sa base. La cohérence entre les documents internes et les réponses aux demandes individuelles est impérative.

Il est recommandé de désigner un interlocuteur dédié au traitement des demandes d’exercice des droits, disposant d’un accès aux registres et aux informations de traçabilité nécessaires pour formuler des réponses précises dans le délai d’un mois prévu par l’article 12 du RGPD. Un registre des demandes reçues et des réponses apportées doit être tenu, en vue d’une démonstration de conformité en cas de contrôle.

5. ANTICIPER LES QUESTIONS DE COMPÉTENCE TERRITORIALE DE LA CNIL ET DE DROIT APPLICABLE

L’affaire KASPR illustre l’importance de la question de l’établissement en France et de la clientèle nationale pour la détermination de la compétence de la CNIL. Contrairement à l’affaire LUSHA (SAN-2022-024), dans laquelle la formation restreinte avait conclu à l’inapplicabilité du RGPD, KASPR est établie à Paris et s’adresse à une clientèle majoritairement française. Tout opérateur développant une activité de collecte et de commercialisation de données personnelles depuis le territoire français ou à destination d’un public français doit intégrer cette dimension dans son analyse de conformité.

---

---

PARTIE II — CONSEILS AUX PERSONNES CONCERNÉES

 

1. CONTRÔLER ET AJUSTER SES PARAMÈTRES DE CONFIDENTIALITÉ SUR LES RÉSEAUX SOCIAUX PROFESSIONNELS

La délibération KASPR confirme que les paramètres de confidentialité choisis sur les réseaux sociaux professionnels ont une portée juridique déterminante : la limitation de la visibilité de ses coordonnées constitue une manifestation de volonté reconnue par la CNIL, susceptible de faire obstacle à la collecte par des acteurs tiers. Il est donc fortement conseillé de vérifier régulièrement ses paramètres sur LinkedIn et les autres réseaux sociaux professionnels, afin de limiter la visibilité de ses coordonnées — numéro de téléphone, adresse électronique — aux seuls cercles de son choix.

Cette vérification doit être effectuée avec soin, car les réseaux sociaux modifient régulièrement leurs paramètres par défaut et leur interface. Une réactivité à ces changements permet de réduire significativement l’exposition aux pratiques de scraping commercial.

2. EXERCER SON DROIT D’ACCÈS ET D’OPPOSITION AUPRÈS DES OPÉRATEURS DE TYPE « DATA BROKER »

Toute personne ayant été démarchée à des fins commerciales sans y avoir consenti dispose du droit de demander à l’opérateur l’origine de ses coordonnées. En application de l’article 15 du RGPD, l’opérateur est tenu de communiquer l’ensemble des informations disponibles quant à la source des données. Si cette information n’est pas fournie de façon satisfaisante, ou si le traitement repose sur une base légale contestable, la personne peut exercer son droit d’opposition (article 21 du RGPD) ou son droit à l’effacement (article 17 du RGPD).

La délibération KASPR enseigne que l’injonction prononcée par la CNIL a contraint la société à informer les personnes concernées et à leur offrir la possibilité de s’opposer au traitement. Les personnes qui recevraient un courriel de ce type — même rédigé en langue étrangère — ont tout intérêt à y répondre pour exercer leurs droits, ou à contacter directement la société pour obtenir les informations auxquelles elles ont droit.

3. DÉPOSER UNE PLAINTE AUPRÈS DE LA CNIL EN CAS DE VIOLATION CARACTÉRISÉE

Lorsque des coordonnées personnelles ont été collectées sans base légale valable et sans information préalable, et que l’opérateur ne donne pas suite aux demandes d’exercice des droits, la personne concernée dispose de la faculté de déposer une plainte auprès de la CNIL. L’affaire KASPR a d’ailleurs été initiée à la suite de « plusieurs saisines » de la Commission, ce qui démontre l’efficacité de ce mécanisme. Le dépôt d’une plainte peut être effectué en ligne via le service PLAINTE EN LIGNE de la CNIL. La Commission dispose d’un droit de contrôle et peut prononcer des sanctions à l’encontre des opérateurs défaillants.

4. CONSULTER RÉGULIÈREMENT LA POLITIQUE DE CONFIDENTIALITÉ DES OPÉRATEURS DE DONNÉES

La délibération KASPR révèle une incohérence notable : la société listait les sources alimentant sa base dans sa propre politique de confidentialité, mais ne communiquait pas cette information dans ses réponses aux demandes d’accès. Les personnes concernées ont donc intérêt à consulter la politique de confidentialité des opérateurs qui les démarchent, afin d’identifier les sources déclarées de collecte. Ces informations peuvent être utiles pour apprécier la licéité du traitement et formuler des demandes d’exercice des droits plus ciblées et mieux documentées.

---

 
 
 

---

POINTS ESSENTIELS

---

La délibération n° SAN-2024-020 du 5 décembre 2024, par laquelle la formation restreinte de la CNIL prononce une amende de 240 000 euros à l’encontre de la société KASPR — éditrice d’une extension Chrome permettant d’accéder depuis LinkedIn aux coordonnées professionnelles de personnes physiques tierces —, constitue un arrêt de principe sur les conditions de licéité du data scraping à des fins de prospection commerciale B2B, dont la portée dépasse largement la seule situation de l’espèce.

La formation restreinte y affirme, avec une rigueur doctrinale remarquable, que la présence d’une donnée personnelle sur un réseau social professionnel ne confère pas à un tiers le droit de la collecter et de la commercialiser : le paramétrage de confidentialité choisi par son titulaire constitue une manifestation de volonté juridiquement opposable, qui fait obstacle à l’invocation de l’intérêt légitime prévu par l’article 6, § 1, f) du RGPD dès lors que les droits et attentes légitimes de la personne prévalent sur les intérêts commerciaux du responsable du traitement. En outre, la délibération sanctionne avec une sévérité particulière le mécanisme de renouvellement automatique de la durée de conservation lors des mises à jour des données — pratique par laquelle KASPR contournait de facto le principe de limitation consacré par l’article 5, § 1, e) du RGPD —, ainsi que l’absence totale d’information des personnes concernées pendant quatre années suivant la mise en œuvre de l’extension (2018-2022), en violation flagrante du délai impératif d’un mois fixé par l’article 14 du RGPD pour les collectes indirectes ; la Commission ajoute à ce constat que l’information délivrée à partir de 2022, rédigée en langue anglaise, ne satisfaisait pas à l’exigence de compréhensibilité posée par l’article 12 du RGPD à l’égard de personnes dont la langue maternelle est le français. Enfin, en retenant le manquement à l’article 15 du RGPD pour avoir répondu aux demandes d’accès par une formule générique renvoyant à « des sources publiquement accessibles », alors même que la politique de confidentialité de la société en listait précisément les sources, la formation restreinte impose un principe de cohérence documentaire aux responsables du traitement : on ne saurait être plus précis dans ses déclarations publiques que dans ses réponses aux demandes individuelles.

Prononcée deux ans après la décision d’incompétence rendue dans l’affaire LUSHA (SAN-2022-024), la délibération KASPR vient combler le vide jurisprudentiel créé par cette décision et poser, pour la première fois, un corpus de règles précises et contraignantes applicables aux acteurs européens du scraping de données professionnelles — corpus que la jurisprudence postérieure (SOLOCAL, SAN-2025-001 ; CALOGA, SAN-2025-002) confirme et amplifie, consacrant une ligne sanctionnatrice désormais pleinement stabilisée qui fait peser sur l’ensemble des opérateurs du secteur une obligation de conformité immédiate et sans réserve.