La société Kaspr vient d'être condamnée par la Commission nationale de l’informatique et des libertés à une amende de 240 000 euros pour des pratiques non conformes au RGPD. La firme vient en effet d'être mise en cause pour avoir collecté des données d’utilisateurs de LinkedIn sans leur consentement explicite.
On ne pille pas en toute impunité
Dans sa décision publiée hier, la Cnil retient la récupération non autorisée de données. Dans les faits, Kaspr collectait des emails et numéros de téléphone d’utilisateurs LinkedIn, qui avaient pourtant limité leur visibilité à leurs contacts ou à un cercle restreint, et ce, sans permettre leur accès généralisé. Ces informations étaient ensuite accessibles via une extension de navigateur commercialisée par Kaspr.
Par cette pratique peu honorable, l’entreprise a enrichi sa base de données, qui contient environ 160 000 contacts, en aspirant des informations non seulement depuis LinkedIn mais aussi depuis d’autres sites. De même, il a été constaté que les données collectées étaient stockées au-delà de la durée permise par la législation (article 5-1-e du RGPD) et que les personnes ne disposaient de leur droit aux demandes d’exercice du droit d’accès (article 15 du RGPD)
Globalement, la Commission retient un manque de transparence, les utilisateurs concernés n’étant pas informés suffisamment tôt, ni clairement sur la manière dont leurs données étaient récupérés et encore moins utilisées. En outre, des réponses incomplètes ont été fournies aux utilisateurs, qui cherchaient des explications.
Sanctions et obligations imposées à Kaspr
Dans ces conditions, il a été prononcé une amende financière de 240 000 euros pour non-respect du RGPD, la mise en conformité obligatoire dans un délai de six mois, arrêt immédiat de la collecte de données concernant les utilisateurs ayant choisi une visibilité limitée, application de pratiques conformes pour garantir la protection des données personnelles.
De son côté, Kaspr a reconnu avoir été soumise à une enquête de la CNIL depuis 2022 mais se dit déçue par la décision. Elle affirme avoir entrepris des efforts de mise en conformité : Nous avons réalisé des efforts notables pour répondre aux préoccupations de la CNIL et continuons à ajuster nos politiques conformément à ses conclusions.
Extrait de la décision : la CNIL a prononcé une amende de 240 000 euros pour l’ensemble de ces manquements, et a enjoint à la société KASPR de :
cesser de collecter les données des personnes ayant choisi de limiter la visibilité de leurs coordonnées, et de supprimer les données collectées de cette manière. À défaut, en cas d’impossibilité de distinguer les données dont la visibilité a été limitée, la société devra – dans un délai de 3 mois – informer les personnes concernées du traitement de leurs données et de la possibilité de s’y s’opposer, et de n’utiliser leurs données que dans ce but ;
- cesser le renouvellement automatique de la conservation des données personnelles des personnes cibles ;
- informer les personnes dont les données sont collectées dans une langue qu’elles maîtrisent ;
faire suite aux demandes de droit d’accès des personnes en leur donnant toutes les informations dont elle dispose sur les sources de collecte des données. La CNIL a assorti ces injonctions d’un délai de mise en conformité de six mois expirant le 18 juin 2025.
