Sanction CNIL : Les restrictions de visibilité LinkedIn doivent être respectées - Amende de 240.000€ pour KASPR

Contexte de la sanction CNIL contre KASPR

La Commission Nationale de l'Informatique et des Libertés (CNIL) a prononcé le 5 décembre 2024 une amende significative de 240.000 euros à l'encontre de la société KASPR. Cette sanction fait suite à des pratiques de collecte de données personnelles sur LinkedIn qui contournaient délibérément les paramètres de confidentialité choisis par les utilisateurs.

Analyse détaillée du dispositif contesté

KASPR proposait une extension de navigateur permettant d'accéder aux coordonnées professionnelles d'utilisateurs LinkedIn, y compris lorsque ceux-ci avaient explicitement restreint la visibilité de leur profil. Le mécanisme reposait sur une synchronisation des comptes LinkedIn des utilisateurs de l'extension, permettant ainsi à KASPR de collecter les données des contacts, même celles protégées par des restrictions de visibilité.

Fondements juridiques de la décision

La CNIL a particulièrement examiné la question de l'intérêt légitime invoqué par KASPR pour justifier ces collectes. L'autorité a conclu que le traitement était dépourvu de base légale valable, considérant que les droits fondamentaux des personnes concernées, notamment leur droit à la vie privée, prévalaient sur l'intérêt commercial de KASPR.

Portée et limites de la décision

Il est important de noter que la sanction ne concerne que la collecte des données des profils ayant activé des restrictions de visibilité. La collecte de données issues de profils LinkedIn publics n'a pas été remise en cause par la CNIL, bien que les conditions d'utilisation de LinkedIn interdisent généralement la collecte automatisée d'informations.

Quelques pistes pour l'intégration opérationnelle dans votre dispositif :

• Réaliser un audit des outils et extensions utilisés par votre organisation pour la prospection sur les réseaux sociaux professionnels

• Mettre à jour vos procédures de collecte de données en intégrant une vérification systématique des paramètres de confidentialité des profils ciblés

• Former vos équipes aux bonnes pratiques de prospection sur LinkedIn en respectant les choix de confidentialité des utilisateurs

• Documenter dans votre registre des traitements les bases légales appropriées pour chaque type de collecte de données sur les réseaux sociaux