CNIL | SAN-2024-020 | 5 DÉCEMBRE 2024 | AFFAIRE KASPR |
KASPR | SCRAPING DE DONNÉES DE CONTACTS LINKEDIN
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
La société KASPR développe depuis 2018 une extension pour le navigateur CHROME qui permet à ses clients, abonnés payants, d’obtenir les coordonnées professionnelles — numéro de téléphone et adresse électronique — de personnes dont ils visitent le profil sur LinkedIn. La base de données ainsi constituée comprenait, au moment du contrôle, environ 160 millions de contacts à l’échelle mondiale. Les coordonnées figurant dans cette base sont collectées depuis plusieurs sources : des fournisseurs tiers aspirant des données depuis LinkedIn, GitHub ou WHOIS, les annuaires des registres de noms de domaine, et surtout la synchronisation des contacts LinkedIn des utilisateurs de l’extension lors de son activation.
Ce dernier canal est particulièrement sensible : lorsqu’un utilisateur active KASPR et synchronise son compte LinkedIn, l’extension récupère les coordonnées des contacts directs de cet utilisateur, y compris les coordonnées que ces contacts avaient délibérément restreintes à leurs seules relations de premier niveau au sein du réseau social. La personne cible avait donc volontairement limité l’accès à ses données, et se retrouvait néanmoins intégrée dans la base KASPR, à la disposition de l’ensemble des abonnés de l’extension pour des finalités de prospection commerciale, de recrutement ou de vérification d’identité.
I.
La collecte illicite de données « masquées » par les utilisateurs de LinkedIn
LinkedIn propose à ses utilisateurs quatre niveaux de visibilité pour leurs coordonnées : (1) visible par moi uniquement, (2) visible par tout le monde sur LinkedIn, (3) visible par les relations de 1er niveau, (4) visible par les relations de 1er et 2e niveaux. KASPR procède à la collecte dans les deux derniers cas, au motif que la personne a accepté une forme de visibilité. La formation restreinte a jugé ce raisonnement erroné.
Elle considère qu’en exerçant leur liberté de restreindre la visibilité de leurs coordonnées, les utilisateurs de LinkedIn expriment une opposition qui s’impose aux tiers. Le fait d’avoir consenti à ce que ses relations directes voient ses coordonnées ne revient pas à autoriser un tiers — KASPR — à les collecter et à les redistribuer à des inconnus, potentiellement par milliers via les abonnements de l’extension. La formation restreinte applique le test de l’intérêt légitime prévu à l’article 6, paragraphe 1, f) du RGPD : elle admet que l’intérêt commercial de KASPR et de ses clients est légitime et que la collecte est nécessaire à cet intérêt, mais conclut que le traitement heurte les droits et les attentes raisonnables des personnes dont les données sont collectées contre leur choix exprès de paramétrage. La formation restreinte souligne qu’aucune relation pertinente et appropriée — au sens du considérant 47 du RGPD — ne lie les personnes cibles à KASPR, puisqu’elles ne sont pas utilisatrices de l’extension mais simplement des contacts des abonnés.
Ce raisonnement est d’une portée générale considérable pour l’ensemble des acteurs qui aspirent des données depuis les réseaux sociaux en s’appuyant sur des mécanismes de synchronisation de contacts ou d’API : la licéité de la collecte ne s’apprécie pas à l’aune de la seule accessibilité technique des données, mais au regard de l’intention exprimée par la personne concernée via son paramétrage de confidentialité.
II.
Une durée de conservation structurellement excessive
KASPR conservait les coordonnées des personnes cibles pendant cinq ans à compter de chaque mise à jour des données. Or, les données sont mises à jour dès lors qu’une personne change de poste ou d’employeur. Ce mécanisme de renouvellement automatique du délai de conservation à chaque changement de situation professionnelle produisait, pour les personnes dont la carrière est marquée par une mobilité professionnelle régulière, une conservation de fait indéfinie de leurs coordonnées, très largement disproportionnée au regard des finalités du traitement.
L’article 5, paragraphe 1, e) du RGPD impose une durée de conservation proportionnée aux finalités. La prospection commerciale et le recrutement ne justifient pas que des coordonnées professionnelles soient conservées sans limitation effective de durée. La formation restreinte a donc retenu un manquement à ce principe de limitation de la durée de conservation, en relevant que le mécanisme automatique de renouvellement du délai conduisait à vider de sa substance la limitation formelle à cinq ans.
III.
Quatre ans d’absence d’information et une communication en langue étrangère
La société n’a commencé à informer les personnes concernées de la collecte de leurs données qu’en 2022, soit quatre ans après le lancement de l’extension en 2018. Pendant cette période, près de 160 millions de personnes dont les coordonnées professionnelles figuraient dans la base KASPR n’avaient reçu aucune information sur ce traitement, en violation directe et continue de l’article 14 du RGPD, qui impose au responsable du traitement collectant des données auprès de sources tierces d’informer les personnes concernées dans un délai d’un mois au plus tard après la collecte ou lors de la première communication avec ces personnes.
Lorsque l’information a finalement été délivrée à partir de 2022, elle prenait la forme d’un courriel rédigé exclusivement en anglais, renvoyant vers un lien permettant de s’opposer au traitement. L’article 12 du RGPD exige que l’information soit communiquée de manière compréhensible. La formation restreinte a jugé que la rédaction en anglais d’une information destinée à des professionnels localisés dans des pays où cette langue n’est pas la langue vernaculaire ne satisfaisait pas à cette exigence d’intelligibilité. La présomption d’une maîtrise généralisée de l’anglais dans un ensemble de 160 millions de personnes réparties dans l’Union européenne ne peut pas suppléer à l’obligation légale de délivrer une information effectivement compréhensible.
IV.
Des réponses insuffisantes aux demandes d’exercice du droit d’accès
Lorsque des personnes ayant été démarchées par des utilisateurs de l’extension KASPR exerçaient leur droit d’accès et demandaient à la société comment leurs coordonnées avaient été obtenues, celle-ci se limitait à une réponse générique indiquant que leurs données avaient été collectées « à partir de sources publiquement accessibles », sans précision sur la ou les sources en question.
L’article 15, paragraphe 1, g) du RGPD oblige le responsable du traitement à communiquer, dans le cadre de l’exercice du droit d’accès, « toute information disponible quant à la source » des données lorsque celles-ci n’ont pas été collectées directement auprès de la personne concernée. La formation restreinte a constaté que KASPR avait parfaitement connaissance des sources alimentant sa base de données — LinkedIn, WHOIS, GitHub, registres de noms de domaine — et les avait d’ailleurs répertoriées dans sa propre politique de confidentialité. L’absence de communication de ces informations dans les réponses aux demandes d’accès constitue donc une violation de l’article 15, que la société ne pouvait pas justifier par une impossibilité technique d’identifier la source précise pour chaque individu. L’obligation porte sur les informations disponibles, et il était en l’espèce possible de communiquer au moins les catégories de sources concernées.
V.
La portée européenne de la décision
La décision a été adoptée selon le mécanisme du guichet unique prévu par l’article 60 du RGPD. La CNIL, établissement principal de KASPR étant localisé en France, a agi en qualité d’autorité chef de file, après avoir informé l’ensemble des autorités européennes concernées dès le 19 septembre 2023. Le projet de décision a été communiqué aux autorités suédoise, hongroise et allemande (land de Saxe), dont la qualité d’autorités concernées au sens de l’article 4, paragraphe 22 du RGPD était établie par la présence, dans la base de données de KASPR, de contacts localisés sur leurs territoires respectifs. Aucune de ces autorités n’ayant formulé d’objection pertinente et motivée dans le délai prévu, elles sont réputées avoir approuvé la décision. Cette dimension transnationale de la délibération en fait un précédent applicable à l’ensemble de l’espace européen pour les activités d’aspiration de données professionnelles conduites depuis la France.
POINTS ESSENTIELS
27.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats