Bien qu’accessibles sur le net, les coordonnées des personnes ne peuvent pas être copiées et utilisées sans respecter le RGPD. La CNIL a récemment condamné une société KASPR à une amende de 240 000 euros.
Résumé de l’affaire : la société KASPR développe et commercialise une extension qui donne accès à ses utilisateurs à différentes données provenant de sources multiples, notamment les données de profils LinkedIn. Le problème fut que la base incluait également les données de personnes qui avaient souhaité limiter l’accessibilité de leur email et numéro de téléphone à leurs seuls contacts au sein du réseau social.
Suite à plusieurs saisines, la CNIL a effectué un contrôle afin de vérifier la conformité au RGPD du traitement de données mis en place par KASPR. Une délibération a été rendue le 5 décembre 2024. Celle-ci nous rappelle plusieurs règles importantes en matière de traitement de données à caractère personnel.
Sur la base légale du traitement :
- L’intérêt légitime d’une société peut constituer une base légale acceptable mais il faut tout de même prendre en compte les « attentes raisonnables des personnes concernées fondées sur leur relation avec le responsable de traitement » (considérant 47 du RGPD) ;
- Lorsque des personnes choisissent délibérément de restreindre l’accès à leurs coordonnées sur LinkedIn, cela correspond à une opposition claire au traitement de ces données, supprimant tout intérêt légitime de traitement par un tiers. En effet, il s’agit sinon d’un traitement dit « invisible », effectué sans le consentement des utilisateurs du réseau social.
Sur la transparence :
- Les professionnels dont les données sont collectées doivent non seulement en être informés, mais il faut également que cette information soit disponible sous la forme de documents traduits dans les différentes langues parlées par ces personnes.
- Le responsable de traitement est tenu de communiquer la source d’où proviennent les données (dans la politique de confidentialité et en cas d’exerce du droit d’accès). Si la source est incertaine, il convient de citer toutes les sources de collecte possibles.
- SI les personnes cibles du traitement sont « passives », c’est-à-dire qu’elles n’ont aucune relation avec le responsable de traitement et ne sont pas conscientes de celui-ci, cela constitue un manque de transparence certain de la part du responsable de traitement. En effet, les personnes concernées par le traitement ne doivent pas avoir à « chercher activement les informations ».
Sur la durée de conservation :
- Le fait que les données soient conservées pendant 5 ans à chaque mise à jour des données dans le cas d’espèce est incompatible avec le respect du principe de conservation proportionnée.
Si vous utilisez des données accessibles publiquement pour enrichir vos bases, contactez-moi pour une mise en conformité rapide.
Charlotte GALICHET