Mauvaise nouvelle pour LindkedIn, la plateforme de mise en relation entre professionnels détenue par Microsoft ! Cette dernière n'a pas respecté le règlement sur les données personnelles (le RGPD, faut-il le rappeler) et se voit condamnée à une amende de 310 millions d'euros !
Une sanction tardive mais record
La Commission irlandaise pour la protection des données -qui agit pour le compte de l'Union européenne en matière de vérification de l'application des normes- avait été saisie d'une plainte déposée en 2018 par l'association française la Quadrature du Net.
Plus précisément, l'association avait déposé cinq plaintes collectives contre Linkedin (Microsoft) mais aussi Google, Apple, Facebook et Amazon, les accusant respectivement d'exploiter de manière illégale les données personnelles de leurs usagers. Ces plaintes -qui contenaient les noms de près de 12000 personnes- avaient été déposées dans un premier temps au siège de la Cnil à Paris, avant d'être transférées.
La Quadrature du Net reprochait au réseau sa pratique des formulaires pré-cochés ou les clauses stipulant que la continuation de l'utilisation du service valait acceptation des CGU. Ce qui entrainait dès lors des traitements d'analyse comportementale et de ciblage publicitaire.
On peut donc dire qu'elle a pris son temps mais qu'elle a finalement estimé que le consentement obtenu par Linkedin auprès de ses utilisateurs pour l'utilisation de leurs données n'a pas été donné librement, ni été suffisamment éclairé ou spécifique, ni sans ambiguïté. Elle a en effet considéré une succession d'infractions, portant sur la légalité, l'équité et la transparence de son traitement des données dans ce domaine.
Elle prononce donc une sanction financière de 310 millions d'euros mais également une injonction de mettre son traitement des données en conformité avec le RGPD. Pour le moment, la décision n'a pas encore été publiée.
Dans un communiqué, le commissaire adjoint du DPC, Graham Doyle, a déclaré : La légalité du traitement est un aspect fondamental de la loi sur la protection des données et le traitement des données personnelles sans base juridique appropriée est une violation claire et grave du droit fondamental d'une personne concernée à la protection des données.
