Les aspirateurs de données sur les réseaux sociaux sont-ils conformes avec le règlement européen sur la protection des données, le RGPD ? Dans le cas de KASPR, une extension payante pour le navigateur Chrome, la réponse de la Cnil est négative.
Pour rappel, l’application permet à ses utilisateurs de collecter les coordonnées des membres de LinkedIn par une simple visite de leurs profils. Ces informations, conservées par l’éditeur, sont ensuite utilisées à des fins de démarchage commercial ou de vérification d’identité.
Sanction rendue en coopération avec les Cnil européennes
L’enquête de la Cnil a permis de constater que KASPR avait ainsi constitué une base de données d’environ 160 millions de contacts. Pour le gendarme français de la protection des données, l’application Chrome enfreint plusieurs dispositions du RGPD.
En coopération avec tous ses homologues européens, la Cnil a prononcé une sanction de 240.000 euros à l’encontre de KASPR. Cette condamnation, rendue publique, est justifiée par différents manquements au règlement européen.
L’autorité relève ainsi que l’extension ne dispose pas d’une base légale pour procéder à la collecte de données. Certes, les membres de LinkedIn peuvent autoriser, selon leurs paramètres, la visibilité de leurs coordonnées à certaines de leurs relations.
5 ans de conservation renouvelables
Toutefois, cette configuration “ne revenait pas à autoriser KASPR à accéder à leurs coordonnées et à les collecter”, juge la Cnil. En conséquence, le régulateur estime que les informations collectées par l’extension l’ont été “illicitement.”
Il ne s’agit pas du seul manquement constaté. KASPR se voit également reprocher un manquement à l’obligation de définir et de respecter une durée de conservation des données proportionnée à la finalité du traitement.
En effet, la “société conservait les coordonnées des utilisateurs pendant 5 ans à partir de chaque mise à jour des données, qui intervient généralement lorsqu’une personne change de poste ou d’employeur.” En clair, la durée de conservation était renouvelée et ainsi “disproportionnée.”
KASPR a 6 mois pour se mettre en conformité
La Cnil retient en outre à l’encontre de KASPR des manquements à l’obligation de transparence et d’information des personnes et à l’exercice du droit d’accès. L’éditeur se contentait d’indiquer que les coordonnées avaient été collectées à partir de sources publiquement accessibles.
Outre sa sanction pécuniaire, l’entreprise est mise en demeure de cesser de collecter les données des personnes ayant choisi de limiter la visibilité de leurs coordonnées. Elle a aussi pour obligation de supprimer les données collectées. KASPR a jusqu’au 18 juin 2025 pour se mettre en conformité.