Le 5 décembre 2024, la Commission nationale de l’informatique et des libertés (CNIL) a infligé une amende de 240 000 euros à la société Kaspr pour des manquements au Règlement général sur la protection des données (RGPD).
Kaspr propose une extension payante pour le navigateur Chrome, permettant à ses utilisateurs d’accéder aux coordonnées professionnelles des personnes dont ils consultent le profil sur LinkedIn. Pour fournir ce service, Kaspr collecte des données à partir de LinkedIn et d’autres sites web, constituant ainsi une base de données d’environ 160 millions de contacts. Ces informations sont ensuite utilisées par les clients de Kaspr pour des activités telles que la prospection commerciale ou la vérification d’identité.
La CNIL a été alertée par plusieurs plaintes de personnes ayant été démarchées par des entités ayant obtenu leurs coordonnées via l’extension Kaspr. Ces plaintes ont conduit la CNIL à mener une enquête approfondie sur les pratiques de Kaspr en matière de collecte et de traitement des données personnelles.
Les manquements identifiés par la CNIL
L’enquête de la CNIL a mis en évidence plusieurs infractions aux dispositions du RGPD :
- Absence de base légale pour la collecte des données : Kaspr collectait les coordonnées des utilisateurs de LinkedIn sans leur consentement explicite, y compris lorsque ces derniers avaient choisi de limiter la visibilité de leurs informations. Cette pratique contrevient au principe selon lequel toute collecte de données personnelles doit être fondée sur une base légale appropriée, telle que le consentement éclairé de la personne concernée.
- Manquement à l’obligation d’information : Les personnes dont les données étaient collectées n’étaient pas informées de l’utilisation de leurs informations par Kaspr. Le RGPD impose aux responsables de traitement de fournir aux personnes concernées des informations claires et transparentes sur la collecte et l’utilisation de leurs données personnelles.
- Non-respect du droit d’accès : Kaspr ne permettait pas aux personnes concernées d’exercer leur droit d’accès à leurs données, les empêchant ainsi de vérifier l’exactitude des informations détenues et de demander leur rectification ou suppression si nécessaire.
- Défaut de coopération avec la CNIL : Lors de l’enquête, Kaspr n’a pas pleinement coopéré avec la CNIL, entravant ainsi le bon déroulement des investigations.
Sanctions et mesures correctives
En réponse à ces manquements, la CNIL a prononcé une amende de 240 000 euros à l’encontre de Kaspr. Cette sanction a été adoptée en coordination avec les homologues européens de la CNIL, soulignant l’importance de la protection des données personnelles à l’échelle européenne. De plus, la CNIL a enjoint Kaspr de se conformer aux exigences du RGPD.
Cette sanction illustre la vigilance accrue des autorités de protection des données à l’égard des pratiques de collecte automatisée de données sur les réseaux sociaux, souvent désignées sous le terme de « scraping ». Elle rappelle aux entreprises l’importance de respecter les choix de confidentialité des utilisateurs et de se conformer strictement aux dispositions du RGPD.
Les professionnels du marketing et de la prospection commerciale sont particulièrement concernés par cette décision. Ils doivent s’assurer que les données qu’ils utilisent ont été collectées de manière légale et transparente, en obtenant le consentement explicite des personnes concernées lorsque cela est nécessaire. Cette affaire souligne également la nécessité pour les entreprises de mettre en place des mécanismes efficaces permettant aux individus d’exercer leurs droits en matière de protection des données.
Une responsabilité partagée : quid de Google et de Chrome ?
La mise à disposition d’une extension comme celle de Kaspr sur le navigateur Chrome soulève également des questions sur la responsabilité de Google. En tant que plateforme d’hébergement, Google dispose de moyens techniques et juridiques pour contrôler les applications disponibles sur son store. Devrait-il y avoir un examen plus rigoureux pour empêcher la diffusion d’outils facilitant des pratiques contraires au RGPD ?
Certaines voix pointent du doigt le rôle passif des géants de la tech, qui peuvent indirectement bénéficier de ces pratiques en termes de données exploitées ou d’usage accru de leurs plateformes. Si une entreprise comme Kaspr peut proposer son extension sans obstacle, cela questionne sur les critères de validation des applications et sur la responsabilité élargie des acteurs facilitant ces comportements.
Cette responsabilité partagée pourrait être une piste d’évolution réglementaire, notamment pour imposer aux plateformes de contrôler activement le respect des lois en vigueur par leurs utilisateurs et partenaires.
Une régulation renforcée ?
En somme, la sanction prononcée contre Kaspr par la CNIL constitue un rappel fort des obligations légales en matière de collecte et de traitement des données personnelles. Elle s’inscrit dans une série de mesures récentes visant à renforcer la protection des données personnelles et à dissuader les pratiques illégales dans le domaine du traitement des informations numériques.
Cette affaire pourrait marquer un tournant, poussant les entreprises, mais aussi les plateformes technologiques, à revoir leurs pratiques pour assurer une meilleure conformité et un respect accru des droits des utilisateurs.
Source : CNIL, Aspiration de données : sanction de 240 000 euros à l’encontre de la société KASPR
