CONTACT

Les restrictions de visibilité LinkedIn ne doivent pas être contournées

10 janvier 2025 | Derriennic Associés |

Les restrictions de visibilité LinkedIn ne doivent pas être contournées

Le 5 décembre 2024, la CNIL a prononcé à l’égard de la société KASPR une amende de 240.000 euros, pour avoir collecté sur LinkedIn des données personnelles d’utilisateurs qui avaient précisément choisi d’en limiter la visibilité.

Une collecte de données personnelles contournant les restrictions de visibilité paramétrées sur LinkedIn

Suite à plusieurs saisines, la CNIL a procédé à un contrôle sur audition des représentants de KASPR, ce qui a mis en lumière le fonctionnement de l’extension de navigateur internet proposée par cette société.

Cette extension permet d’avoir accès aux coordonnées professionnelles d’une « personne cible », lorsque son profil LinkedIn est visité, y compris lorsque cette personne a restreint la visibilité de son profil. 

Les coordonnées des personnes cibles ainsi affichées sont notamment collectées par KASPR auprès des utilisateurs de l’extension eux-mêmes. En effet, les comptes LinkedIn des utilisateurs sont synchronisés avec l’extension, de telle sorte que KASPR collecte les données de profils de leurs contacts LinkedIn. 

Un contournement des restrictions de visibilité outrepassant les attentes raisonnables des personnes cibles

La CNIL s’est intéressée aux opérations de collecte de données des personnes cibles ayant restreint la visibilité de leur profil LinkedIn, opérations fondées, selon KASPR, sur l’intérêt légitime.

Pour la CNIL, KASPR ne peut pas collecter les données des personnes cibles ayant choisi de restreindre la visibilité de leurs coordonnées, sans que cela n’aille à l’encontre de leurs « attentes raisonnables ». En effet, les personnes cibles, en autorisant certains de leurs contacts à prendre connaissance de leurs coordonnées, n’ont pas, « par cette action, entendu autoriser la société KASPR à collecter de telles données ». Aucune « relation pertinente et appropriées » ne lie les personnes cibles à KASPR.

En conséquence, la CNIL a considéré que « les intérêts ou les libertés et droits fondamentaux des personnes concernées, notamment leur droit au respect de la vie privée, prévalaient sur l’intérêt légitime du responsable de traitement à traiter leurs données pour pouvoir assurer le fonctionnement de son extension, de sorte que le fondement juridique de l’intérêt légitime de la société ne peut être retenu ».

En l’absence d’intérêt légitime, la CNIL a conclu que le traitement était dépourvu de base légale. Compte tenu notamment de ce manquement, la CNIL a prononcé à l’égard de KASPR une amende de 240.000 €.

Un défaut de base légale limité à certains cas de collecte

Il est à noter que le défaut de base légale relevé par la CNIL est cantonné au seul cas de collecte de données des personnes cibles ayant restreint l’affichage de leurs coordonnées sur LinkedIn.

La CNIL n’a donc pas relevé de défaut de base légale s’agissant des opérations de collecte de données issues de profils LinkedIn « publics », également réalisées par KASPR. Pourtant, les Conditions d’utilisation de LinkedIn prohibent dans une très large mesure la collecte automatisée d’informations sur ce réseau social, ce qui aurait pu conduire la CNIL à caractériser l’absence d’« attentes raisonnables » des personnes concernées, y compris s’agissant des données collectées auprès de profils publics.

Source : ici