Le 19 décembre 2024, la CNIL a prononcé une amende de 240 000 euros contre la société KASPR, une entreprise proposant une extension pour navigateur permettant de collecter automatiquement des coordonnées professionnelles sur LinkedIn, souvent à l’insu des utilisateurs et en violation des règles du RGPD.Quels faits ont conduit à cette sanction ? Quels articles du RGPD sont concernés ? Et surtout, comment éviter de commettre les mêmes erreurs ? La réponse, dans notre article.

 Contexte 

KASPR est une société spécialisée dans la création d’extensions pour navigateur, notamment une extension permettant de collecter des coordonnées professionnelles à partir de LinkedIn et d’autres sources publiques comme des annuaires. Ces données, utilisées par les clients de KASPR à des fins de prospection commerciale ou de vérification d’identité, ont alimenté une base de 160 millions de contacts.  

Cependant, plusieurs plaintes ont été déposées par des personnes démarchées sans leur consentement. La CNIL, alertée, a ouvert une enquête et constaté plusieurs manquements graves au RGPD. Cette sanction de 240 000 euros, rendue publique, s’accompagne également d’une injonction pour KASPR de se mettre en conformité dans un délai de six mois.

Les faits reprochés et les articles du RGPD concernés

1. Collecte illégale des données personnelles (Article 6 du RGPD)  

La CNIL a constaté que KASPR récupérait les coordonnées des utilisateurs LinkedIn, même lorsque ces derniers avaient explicitement limité leur visibilité (ex. : visible uniquement par les relations de 1er et 2e niveaux). Cette collecte dépassait ce que les utilisateurs pouvaient raisonnablement attendre en s’inscrivant sur un réseau social professionnel. Résultat : ces données ont été collectées sans base légale appropriée, en violation de l’article 6 du RGPD.  

Cet article pourrait vous intéresser : Publicités entre courriels : ORANGE sanctionné par la CNIL de 50 millions d’euros

2. Durée de conservation disproportionnée (Article 5-1-e du RGPD)  

Les données étaient conservées pendant cinq ans, avec une remise à zéro du délai à chaque mise à jour des informations (changement de poste, d’employeur, etc.). Une telle durée, jugée excessive, ne respectait pas le principe de minimisation des données prévu par l’article 5-1-e.  

3. Manque de transparence et d’information (Articles 12 et 14 du RGPD)  

 Pendant quatre ans, KASPR n’a pas informé les personnes concernées de la collecte de leurs données. Ce n’est qu’en 2022 qu’un courriel, rédigé exclusivement en anglais, a été envoyé pour signaler cette collecte. La CNIL a estimé que ce procédé ne répondait pas aux exigences de transparence et de clarté imposées par les articles 12 et 14 du RGPD.  

4. Réponses insuffisantes aux demandes d’accès (Article 15 du RGPD)  

Lorsqu’interrogée sur l’origine des données collectées, KASPR se contentait de mentionner des « sources accessibles publiquement », sans donner davantage de détails. Or, l’article 15 du RGPD exige que les personnes concernées soient informées précisément de l’origine des données traitées.  

Ce que KASPR aurait dû faire pour respecter le RGPD

L’affaire KASPR met en lumière plusieurs lacunes dans la gestion des données personnelles. Voici les mesures que la société aurait dû prendre pour être conforme :  

1. Respecter les paramètres de visibilité des utilisateurs sur LinkedIn  

   Les choix des utilisateurs concernant la visibilité de leurs données doivent être strictement respectés. KASPR n’aurait pas dû collecter les coordonnées des personnes ayant limité leur accessibilité.  

2. Limiter la durée de conservation des données  

   Une durée de conservation proportionnée aux finalités annoncées (par exemple, 1 ou 2 ans maximum) aurait permis d’éviter la critique de disproportion.  

3. Informer immédiatement les personnes concernées  

   Dès la collecte, les utilisateurs auraient dû être informés de manière claire, concise et dans une langue qu’ils comprennent, en conformité avec les articles 12 et 14.  

4. Répondre précisément aux demandes d’accès  

   KASPR aurait dû fournir des informations détaillées sur l’origine des données, y compris en identifiant les sources spécifiques.  

Cet article pourrait également vous intéresser : Publicité ciblée : Linkedin écope d’une sanction de 310 000 000€

 Les leçons à retenir : conseils pour éviter les sanctions

1. Base légale appropriée  

   Assurez-vous que chaque traitement repose sur une base légale valable : consentement, exécution d’un contrat, obligation légale, etc. En cas de doute, abstenez-vous de collecter les données.  

2. Durée de conservation raisonnable  

   Définissez clairement une durée de conservation adaptée aux finalités du traitement et justifiez-la dans votre registre des traitements.  

3. Transparence dès la collecte  

   Informez les personnes dès la collecte de leurs données personnelles. Incluez toutes les informations obligatoires : finalités, base légale, droits des personnes, etc.  

4. Réponses complètes aux droits des personnes  

   Préparez un processus interne pour répondre rapidement et précisément aux demandes d’accès, de rectification ou d’opposition.  

5. Audits réguliers et documentation  

   Mettez en place un audit régulier pour vérifier la conformité de vos traitements. Tenez à jour un registre des traitements pour documenter vos pratiques et démontrer votre conformité.  

 Pourquoi cette sanction est exemplaire

Avec cette amende de 240 000 euros, la CNIL rappelle que le RGPD s’applique à tous, y compris aux entreprises technologiques innovantes. L’affaire KASPR illustre les conséquences de pratiques non conformes, tant sur le plan financier que réputationnel. Elle montre également l’importance de respecter les choix des utilisateurs et de traiter les données personnelles de manière responsable.  

Pour toute entreprise, cette décision est un signal fort : le respect du RGPD n’est pas une contrainte, mais une nécessité pour garantir la confiance des utilisateurs et éviter des sanctions qui peuvent mettre en péril l’activité. La mise en conformité est un investissement essentiel pour une croissance durable et éthique.