Aspiration de données : la CNIL sanctionne lourdement KASPR

Le 5 décembre 2024, la CNIL a infligé une amende de 240 000 euros à la société KASPR, spécialisée dans la collecte et la commercialisation de coordonnées issues de profils LinkedIn. Cette décision, rendue publique, rappelle une règle fondamentale souvent négligée : la disponibilité publique d’une donnée ne signifie pas qu’elle peut être exploitée librement.

KASPR proposait une extension de navigateur permettant à ses clients de collecter des coordonnées professionnelles depuis LinkedIn et d’autres sources. Cette pratique, bien que courante, a donné lieu à plusieurs plaintes. Des utilisateurs avaient expressément limité la visibilité de leurs données pour protéger leur vie privée. La CNIL a conclu que cette exploitation allait à l’encontre de leurs attentes légitimes et enfreignait la réglementation sur les données personnelles. Trois manquements majeurs ont été relevés :

‍

1.    Collecte illicite des données : La CNIL rappelle que même sur des plateformes publiques, les paramètres de confidentialité définis par les utilisateurs doivent être scrupuleusement respectés. Une donnée dite « publique »n’est pas automatiquement libre d’utilisation, et son exploitation nécessite une base légale rigoureuse.

2.    Durée de conservation disproportionnée : KASPR conservait les données pendant cinq ans, en prolongeant cette durée à chaque mise à jour d’un profil LinkedIn. Cette pratique a été jugée excessive par la CNIL, qui a souligné l’obligation de définir des durées proportionnées aux finalités poursuivies. Les entreprises doivent également mettre en place des procédures régulières de suppression des données devenues obsolètes.

3.    Manque de transparence : Jusqu’en 2022, KASPR n’informait pas les utilisateurs que leurs données étaient collectées. Par la suite, les notifications mises en place étaient exclusivement en anglais, ce qui a été jugé insuffisant. La CNIL insiste sur l’importance d’une information claire, compréhensible et accessible dans la langue des personnes concernées.

De nombreuses entreprises partagent l’idée reçue selon laquelle des données publiques peuvent être utilisées sans restriction.La décision de la CNIL vient briser cette illusion : exploiter des données issues de plateformes comme LinkedIn ou d’autres sources dites « publiques »impose de respecter les droits des utilisateurs et les obligations prévues parle RGPD.

Les entreprises qui ne se conforment pas à ces règles s’exposent non seulement à des sanctions financières significatives, mais aussi à un impact durable sur leur réputation. Les outils similaires àKASPR ne sont pas exemptés de ces exigences.

Pour prévenir ces risques, il est essentiel d’adopter une approche proactive :

· Réaliser un audit de vos pratiques afin d’identifier les données collectées et d’évaluer leur conformité avec la réglementation.

· Formaliser vos processus dans une documentation rigoureuse pour démontrer votre conformité en cas de contrôle.

· Garantir une information transparente à destination des personnes concernées en expliquant clairement, dans leur langue, comment leurs données sont utilisées.

Ces mesures ne sont pas uniquement des obligations légales, elles constituent aussi des bonnes pratiques pour renforcer la confiance de vos clients et partenaires.

Pour toute question ou accompagnement, n’hésitez pas à nous solliciter en écrivant à cchance@squairlaw.com.

‍

Caroline Chancé, avocate associée chez Squair