Par une décision du 20 décembre 2022, la CNIL a considéré que le RGPD ne s’appliquait pas à un traitement de données personnelles de citoyens européens réalisé, sans leur consentement, par une société américaine. Une telle décision, suffisamment rare pour être soulignée, nécessite quelques explications.
L’affaire concerne la filiale américaine de la société israélienne LUSHA, qui commercialise une extension de navigateur internet « Lusha » permettant à un utilisateur navigant sur Linkedin ou Salesforce d’obtenir les coordonnées professionnelles de personnes ayant un profil sur ces plateformes, par l’utilisateur. Ces coordonnées ont été obtenues par la filiale américaine à partir des applications mobiles de gestions de contacts (« Simpler », « Mailbook » et « Cleaner Pro ») disponibles depuis le territoire français et aspirant les carnets d’adresses de ses utilisateurs.
La particularité de cette situation réside dans le fait que les personnes concernées (c’est-à-dire les personnes ayant un profil Linkedin ou Salesforce et dont des données ont été aspirées dans le/les carnet(s) d’adresses de tiers les comportant) ne sont pas des utilisateurs (i) de l’extension « Lusha », (ii) ni des applications mobiles de LUSHA. Leurs données de contact ont été collectées parce qu’elles se trouvaient dans le carnet d’adresses d’un ou de plusieurs de leurs contacts, ces derniers étant utilisateurs des applications mobiles LUSHA. Les personnes concernées n’avaient ainsi reçu aucune information sur de tels traitements ni donné leur consentement.
A la suite de signalements et plaintes, dont les premières dataient de 2018, la CNIL a opéré plusieurs contrôles en ligne pour vérifier la conformité de tels traitements au RGPD et à la loi « Informatique et Libertés ». Le rapporteur, désigné aux fins d’instructions de ces éléments, a rendu un rapport précisant les manquements au RGPD considérés comme constitués.
La formation restreinte de CNIL ne l’a pourtant pas suivi, considérant que le RGPD n’était pas territorialement applicable.
Pour mémoire, conformément à l’article 3 du RGPD, celui-ci est applicable :
- « au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union » (critère de l’établissement) ;
- « au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées : a) à l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes [critère de l’offre de biens ou services] ; ou b) au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union [critère du suivi du comportement] ».
La formation restreinte de la CNIL a considéré, sans surprise, que le critère de l’établissement ne pouvait être applicable dans la mesure où la filiale américaine ne dispose d’aucun établissement dans l’UE. Elle a également estimé que, dans la mesure où l’extension « Lusha » n’est pas liée à une offre de biens ou services aux personnes concernées (objet des données de contact), le critère de l’offre de biens ou services n’est pas non plus rempli.
Il restait alors le critère du suivi du comportement. A cet égard, la formation restreinte de la CNIL a jugé qu’il n’est pas établi que les personnes concernées font bien l’objet d’un suivi de comportement.
Selon l’autorité : « la constitution de la base de données par la société repose uniquement sur le rapprochement entre des données de contacts professionnels (… ) avec l’identité des personnes dont le profil est visité sur LinkedIn afin d’en vérifier la véracité. Il ne s’agit donc pas, en l’espèce, d’un traitement qui consiste à analyser ou prédire un comportement, les préférences personnelles ou les déplacements d’une personne, ses intérêts, sa situation économique ou son état de santé. La formation restreinte considère que la société n’utilise pas de techniques de traitement de données à caractère personnel qui consistent en un profilage d’une personne physique. ».
Le RGPD n’étant pas applicable, la formation restreinte n’a donc pas le pouvoir de prononcer une sanction. La décision a toutefois été publiée afin d’informer « l’ensemble des utilisateurs des applications en cause soient informés que les traitements mis en œuvre par la société Lusha ne sont pas soumis au RGPD ».
Cette décision met en lumière le fait que certains traitements de données personnelles de citoyens européens réalisés, à leur insu, sans leur consentement, par des acteurs privés à des fins commerciales, peuvent échapper au RGPD.
Le RGPD est-il à revoir dans son contenu ou dans son interprétation ?
A suivre…
Source : ici