Le 5 décembre 2024, la CNIL a rendu publique une décision importante : une amende de 240 000 euros contre la société KASPR pour divers manquements au RGPD. Cet article présente en détail les faits, les infractions relevées et les implications pour les entreprises en matière de conformité.
Contexte de l’affaire : qu’est-ce que la société KASPR ?
La société KASPR est connue pour son extension payante destinée au navigateur Chrome. Cet outil permet à ses utilisateurs d’obtenir les coordonnées professionnelles de personnes dont ils consultent les profils sur LinkedIn. KASPR collecte ces données à partir de LinkedIn et d’autres sources publiques, constituant ainsi une base de données contenant environ 160 millions de contacts. Ces informations sont utilisées pour des finalités telles que la prospection commerciale.
Plusieurs plaintes ont été déposées auprès de la CNIL par des personnes ayant été démarchées via cette méthode de collecte de données, mettant en lumière des pratiques non conformes aux obligations du RGPD.
Les manquements reprochés à KASPR
Collecte de données sans base légale
La CNIL a constaté que KASPR collectait des coordonnées d’utilisateurs LinkedIn ayant explicitement limité leur visibilité à leurs contacts de premier et deuxième niveaux. Une telle collecte excède les attentes raisonnables des utilisateurs et a été jugée illicite au regard de l’article 6 du RGPD.
Durée de conservation disproportionnée
KASPR conservait les données pendant cinq ans à partir de leur dernière mise à jour, sans tenir compte des situations où les informations devenaient obsolètes. La CNIL a considéré cette pratique comme contraire à l’article 5-1-e du RGPD.
Manque de transparence et d’information
Durant plusieurs années, KASPR n’a pas informé les personnes concernées de la collecte de leurs données personnelles. Lorsqu’elle a commencé à le faire, l’information était fournie via un courriel en anglais, rendant cette démarche peu accessible pour certaines personnes. Ces pratiques n’ont pas respecté les articles 12 et 14 du RGPD.
Défaut de réponse aux demandes d’accès
Lors de demandes concernant la source des données collectées, KASPR répondait uniquement de manière générale, sans fournir les détails requis. La CNIL a estimé que cela ne respectait pas les droits des personnes, en particulier l’article 15 du RGPD.