FYTT #CNIL #ABSTRACT #SCRAPING #SAN2024-020 | #KASPR #Délibération du 5 décembre 2024 | KASPR.IO | Scraping de données de contacts LINKEDIN | RGPD articles 5.1.e, 6, 12, 14, 15 | Amende: 250.000 €│ Chiffre d'affaires: ~3 000 000 € Résultat ~1 000 000 € |

CNIL SAN 2024-020 | Délibération du 5 décembre 2024 | KASPR.IO

Scraping illicite de données de contacts LINKEDIN | RGPD articles 5, 6, 12, 14, 15 |

Amende: 250.000 €│ Chiffre d'affaires: ~3 000 000 €  & Résultat ~1 000 000 € |

La CNIL, dans sa délibération 2024-020 du 5 décembre 2024 (publiée sur Legifrance le 19 décembre 2024) a sanctionné à hauteur de 240 000 € les pratiques massives, abusives et illicites de data scraping de la société KASPR, start-up spécialisée dans l’extraction et l’enrichissement de données personnelles issues de profils “accessibles” —- mais “non disponibles” au public — sur des réseaux sociaux professionnels tels que LINKEDIN aux fins principalement de prospection commerciale et de recrutement.

Cette position de la CNIL est topique des exigences rigoureuses rappelées par la CNIL quant au respect de la lettre et de l’esprit du RGPD en matière de collecte de données personnelles sur des réseaux sociaux professionnels, qui imposent une transparence, une information et un encadrement clair de la durée de conservation.

La CNIL fonde son analyse principalement sur le fait que les personnes concernées, lorsqu’elles ont choisi de limiter la visibilité de leurs données dans LinkedIn, ne devaient pas voir leurs coordonnées aspirées et rendues accessibles à des tiers. Le fait que LinkedIn soit un réseau à vocation professionnelle ne suffit pas à justifier, selon l’ADP française, la présomption d’intérêt légitime de la part de KASPR.

Le principe de proportionnalité de la conservation et l’obligation de transparence sont renforcés lorsque l’on traite des données qui n’ont pas été directement fournies par les personnes concernées (article 14 RGPD).

Les débats autour de l’équilibre entre la finalité économique des données BtoB et les droits des personnes sont au cœur de cette décision et continueront d’alimenter la jurisprudence européenne.

 

CNIL SAN 2024-020 | Délibération du 5 décembre 2024 | KASPR.IO | Scraping de données de contacts LINKEDIN | RGPD articles 5, 6, 12, 14, 15 | Amende: 250.000 €│ Chiffre d’affaires: ~3 000 000 € Résultat ~1 000 000 € |

 

ABSTRACT

La CNIL, dans sa délibération 2024-020 du 5 décembre 2024 (publiée sur Legifrance le 19 décembre 2024) a sanctionné à hauteur de 240 000 € les pratiques massives, abusives et illicites de data scraping de la société KASPR, start-up spécialisée dans l’extraction et l’enrichissement de données personnelles issues de profils “accessibles” —- mais “non disponibles” au public — sur des réseaux sociaux professionnels tels que LINKEDIN aux fins principalement de prospection commerciale et de recrutement. A la date du contrôle CNIL, la base de données KASPR représentait environ 160 millions de « contacts » (c’est-à-dire de fiches associées à des personnes physiques), dont une part substantielle se situe dans l’Espace Économique Européen (UE + Islande, Liechtenstein, Norvège).

KASPR collectait les données personnelles des cibles Linkedin en utilisant plusieurs canaux, à savoir, par:

– l’importation dans la base de données KASPR de TOUS les contacts LinkedIn des utilisateurs de l’extension KASPR par synchronisation immédiate des informations de leurs contacts LINKEDIN à l’installation du module, y compris les données de leurs contacts paramétrées pour être masquées au reste du public des visiteurs de Linkedin et uniquement visibles par le client KASPR en sa qualité de “relation de 1er ou de 2nd niveau”
la transmission de données provenant de fournisseurs tiers utilisant également des techniques de scraping sur des sources accessibles publiquement (LinkedIn, Whois, GitHub).
la collecte d’information provenant d’annuaires professionnels et registres de noms de domaines.

KASPR, en l’espèce, procédait — automatiquement et dès l’installation du module adhoc Chrome par le client — à un data scraping des données de contacts issues des profils LINKEDIN de ses propres clients utilisateurs — comprenant nom, prénom, numéros de téléphone portables, adresses e-mail, url de linkedin et d’autres réseaux sociaux (whatsapp, instagram, facebook…) profession, employeur, entreprise, poste occupé, date d’embauche et de fin de poste, formation, carrière, adresses postales du lieu de travail... — alors même que les contacts de ces clients KASPR avaient pourtant expressément restreint la visibilité de leurs informations aux seules “relations 1er/2e niveaux”.

La collecte des données des contacts Linkedin des relations des clients KASPR ayant expressément restreint leur visibilité allait clairement à l’encontre de leurs attentes raisonnables et portait une atteinte grave à l’intimité de leur vie privée et de celles de leurs contacts dans la mesure où KASPR commettait ce scraping à l’insu de ces derniers et en violation patente et volontaire des paramètres de confidentialité Linkedin qu’ils avaient bien pris la peine d’éditer.

Cette affaire vient dans le prolongement de la jurisprudence ancienne (NESTOR CNIL SAN-2020-018), contestable (LUSHA CNIL SAN-2022-024), inopérante et sans effets (CLEARVIEW SAN-2022-019), de la CNIL relative aux pratiques illicites du scraping de données personnelles.

La formation restreinte de la CNIL a constaté les manquements suivants :

Absence de base légale pour le traitement des données : KASPR collectait et traitait les données personnelles sans disposer d’une base légale valide; KASPR invoquait un intérêt légitime, mais la CNIL a estimé que cet intérêt ne prévalait pas sur les droits et libertés fondamentaux des personnes concernées, notamment en raison du caractère particulièrement intrusif du traitement.
Défaut d’information des personnes concernées : les obligations d’information prévues par les articles 12 et 14 du RGPD n’étaient pas respectées; Les utilisateurs dont les données étaient collectées via les réseaux sociaux n’étaient, en effet, jamais informés de manière claire et accessible, notamment sur les finalités du traitement, la durée de conservation ou leurs droits.
Non-respect du droit d’opposition : KASPR n’a pas mis en place de mécanismes efficaces permettant aux personnes concernées de s’opposer au traitement de leurs données personnelles, comme prévu à l’article 21 du RGPD.
Manquement à l’obligation d’effectuer une analyse d’impact relative à la protection des données (AIPD) : compte tenu des risques élevés pour les droits et libertés des personnes concernées (notamment en raison du profilage), KASPR aurait dû réaliser une AIPD conformément à l’article 35 du RGPD et son défaut témoigne d’un manque d’anticipation et d’évaluation des risques liés au traitement.
Durée excessive de conservation des données : les données collectées étaient conservées pendant une durée excessive, en violation du principe de limitation de conservation prévu à l’article 5(1)(e) du RGPD.

La CNIL a sanctionné KASPR d’une amende administrative de 250 000 euros, accompagnée d’une injonction sous astreinte de 10 000 euros/ jour de retard visant à mettre ses traitements en conformité avec le RGPD dans un délai de 6 mois, aux fins de cessation de toute collecte non conforme, de définition d’une durée de conservation proportionnée sans reconduction automatique,  d’information des personnes dans une langue qu’elles comprennent, et de réponse précise et adéquate aux demandes de droit d’accès.

La formation restreinte a motivé les sanctions en prenant en considération plusieurs facteurs aggravants, à savoir: le caractère systématique des manquements, l’ampleur du traitement, et le nombre important de personnes concernées.