Blog Données personnelles
- Accueil
- Blogs
- Données personnelles
- La société KASPR sanctionnée par la C...
La société KASPR sanctionnée par la CNIL pour avoir collecté sur LinkedIn les coordonnées d’utilisateurs qui avaient choisi d’en limiter la visibilité
- 10 janvier 2025
- Jeanne BOSSI MALAFOSSE, Valentin MOTTELAY
- Données personnelles
Dans une décision du 5 décembre 2024, la CNIL a condamné la société KASPR au paiement d’une amende de 240 000 euros.
Cette société commercialise une extension payante pour CHROME qui permet à ses clients d’obtenir des coordonnées professionnelles de personnes dont ils visitent le profil sur le réseau social LinkedIn. Pour cela, la société KASPR constitue une base de coordonnées à partir de LinkedIn et d’autres sites web tels que des annuaires professionnels.
Cela permet aux clients de la société KASPR de contacter des personnes cibles, afin, par exemple, de réaliser de la prospection commerciale.
La CNIL constate que le traitement mis en œuvre par la société KASPR ne respecte pas les principes de protection des données au premier rang desquels l’obligation de disposer d’une base légale, conformément à l’article 6 du RGPD.
Si, conformément aux recommandations de la CNIL pour les réutilisateurs de données publiées sur internet [1], il est possible de fonder ce traitement sur l’intérêt légitime, tel n’est pas le cas en l’espèce concernant les coordonnées des utilisateurs de LinkedIn ayant limité la visibilité de leur profil. Pour ces utilisateurs, cela excède, selon la CNIL, ce à quoi ils pouvaient raisonnablement s’attendre en s’inscrivant sur un réseau social professionnel.
Ainsi, le traitement de données des personnes ayant limité la visibilité de leur profil LinkedIn doit être considéré comme illicite pour défaut de base légale.
En outre, pour les données traitées de manière licites (pour les utilisateurs qui n’ont pas limité la visibilité de leur profil LinkedIn), la CNIL relève une durée de conservation des données disproportionnée (5 ans à partir de chaque mise à jour des données, qui intervient notamment en cas de changement de poste) en raison des personnes pouvant être amenées à changer de poste pendant ces cinq années.
D’autre part, la CNIL constate des manquements en matière d’information des personnes concernées (information non délivrée au début du traitement et seulement en langue anglaise) ainsi qu’en matière de réponse aux demandes d’exercice du droit d’accès.
Au regard de l’ensemble de ces éléments, la CNIL a prononcé une amende de 240 000 euros à l’encontre de la société KASPR et l’a enjointe de mettre en conformité le traitement de données mis en œuvre.