LUSHA 1 - CNIL 0 - Un non-lieu à sanction de la CNIL inédit pris contre l'Avis de son Rapporteur au prétexte d'une inapplicabilité du RGPD

LUSHA 1 - CNIL O

Comment la société américaine LUSHA au travers de sociétés ecrans fictives, a-t-elle littéralement pu «aspirer» à leur insu  - aux fins de revente ultérieure à «1 dollar le ticket numéro de mobile/e-mail» -  l’intégralité des données et informations figurant aux fiches «contacts» des smartphones de millions d'utilisateurs français, durant plusieurs années,  sans se faire sanctionner par la CNIL et bien pire, obtenir de sa formation restreinte un «non-lieu public inédit» prononcé contre l’Avis motivé de son Rapporteur ?

La CNIL  – dans une décision critiquable du 20 décembre 2022, singulièrement rendue contre l’avis de son Rapporteur-  décidait de ne pas sanctionner “LUSHA Ltd”, une société américaine de “Growth Hacking” qui avait pourtant “aspiré” à leur insu et pendant plusieurs années, l’intégralité des informations et données  -pour certaines intimes et très sensibles-   figurant aux fiches “contacts” des smartphones de millions de français utilisateurs de ses applications Android/iOS (SIMPLER, DIALER, EASY CLEANER, EASY CONTACTS…) en ce, suivant le(s) niveau(x) de détail(s) inscrit(s) : nom, prénom, photographie du contact, numéro(s) de mobile, adresses du domicile personnel / professionnel, appartenance à un groupe de contacts spécifiques, affiliation à un réseau social (WHATSAPP, FACEBOOK, INSTAGRAM, TWITTER..), adresse(s) e-mail personnelle(s) et professionnelle(s), identifiant de réseau social, surnom/pseudo, lien de filiation avec d’autres contacts, profession exercée (psychiatre, psychothérapeute, oncologue, diététicien, addictologue, neurologue, avocat pénaliste…), date d’anniversaire et autres notes associées (commentaires libres et éléments de personnalité spécifiques du contact…), etc… – afin de les revendre par la suite à quiconque voudra bien lui payer la somme moyenne de 1 dollar le binôme d’informations “numéro de téléphone mobile – adresse e-mail”.

Dans le même temps   – paradoxalement et de façon inédite pour une décision de “non-lieu à sanction” –    la CNIL ordonnait que cette délibération soit rendue publique en communiquant à son propos et en la publiant sur son site web et sur le site web de Légifrance (service public de diffusion du droit) au prétexte “[qu’]il apparai[ssait] opportun que l’ensemble des utilisateurs des applications en cause soient informés que les traitements mis en œuvre par la société Lusha ne sont pas soumis au RGPD” (sic).

La qualification “souverainement” orientée et réductrice des termes du débat par la formation restreinte   – en ce qui concerne notamment les «personnes concernées», les traitements «concernés», «l’exécution d’un contrat de services», les «finalités du traitement», les «responsables de traitement»  et la «présence/absence d’un représentant de LUSHA sur le territoire de l’Union»-    a artificiellement circonscrit les limites de ce débat à l’envi pour aboutir à ce résultat de «non-lieu» rendu après plus de quatre années d’instruction, contre l’Avis de son Rapporteur.

Cette position inédite de la CNIL dans l’affaire LUSHA s’inscrit à contre-courant de son actualité du moment, à savoir, ses engagements pris dans le cadre de son plan d’action “Applications mobiles” présenté un mois avant la décision LUSHA et aux termes duquel le smartphone, terminal personnel par définition, relève de la sphère privée et intime. Il est essentiel pour chacun de pouvoir contrôler les données auxquelles les applications mobiles ont accès. Pour autant à l’heure actuelle, les traitements de données peuvent être opaques. En particulier, les informations sur l’existence de collectes de données et les raisons pour lesquelles celles-ci sont collectées sont souvent peu claires. De même, l’utilisateur peut avoir des difficultés à comprendre la nature des autorisations qui lui sont demandées, ce qui complique l’expression de ses choix(sic)   –  Plan d’Action CNIL “Applications mobiles – Pour protéger votre vie privée” présenté le 24 novembre 2022.

L’extraterritorialité du RGPD est l’une des meilleures armes de l’Union contre le pillage de nos données personnelles par des acteurs hors UE tentant de se mettre – ou faisant plutôt mine de se mettre – hors de sa portée. Par sa décision zélée voulant s’afficher comme le reflet d’une analyse juridique rigoureuse et exemplaire de la lettre du RGPD, la CNIL semble avoir omis que «le juridique sans le politique» ou «la lettre sans l’esprit» n’est que bagatelle.

CNIL * SAN-2022-024 du 20 décembre 2022

 

ANALYSE CRITIQUE

ePRIVACY & RGPD

Applications mobiles, Suivi du comportement, Responsable de traitement hors UE


AFFAIRE LUSHA – NON LIEU A SANCTION

Analyse critique


Dans sa délibération du 20 décembre 2022, la formation restreinte a considéré qu’il n’y avait pas lieu de prononcer une sanction à l’encontre de la société dès lors que les éléments versés au dossier ne permettaient pas d’établir que le RGPD était applicable à l’extension Lusha dans la mesure où:

– la société ne disposait d’aucun établissement dans l’Union européenne, de sorte que le critère de l’établissement prévu au paragraphe 1 de l’article 3 du RGPD ne lui est pas applicable;

– l’extension Lusha n’est pas liée à une offre de biens ou de services aux personnes concernées, de sorte que le critère relatif à l’offre de biens ou de services aux personnes concernées prévu au paragraphe 2, a) de l’article 3 du RGPD n’est pas non plus applicable;

– il n’était pas établi que les personnes concernées font bien l’objet d’un suivi de comportement par la société qui n’utilise pas de techniques de traitement de données à caractère personnel qui consistent en un profilage d’une personne physique de sorte que le critère relatif au suivi de comportement des personnes concernées, prévu au paragraphe 2, b) de l’article 3 du RGPD, n’est pas non plus applicable à la société.

CNIL * Délibération SAN-2022-024 du 20 décembre 2022 / Communiqué CNIL