Kaspr, Leader de l’Extraction de Données, Sanctionné par la Cnil
En cette ère numérique où les données sont comparables à de l'or noir, leur protection est devenue un enjeu majeur. C'est dans ce contexte que la Commission Nationale de l'Informatique et des Libertés (Cnil) vient d'infliger une lourde sanction à l'entreprise Kaspr, spécialisée dans l'extraction de données sur LinkedIn. Zoom sur cette affaire qui rappelle l'importance du respect du Règlement Général sur la Protection des Données (RGPD).
Kaspr, Leader Controversé de l'Extraction de Données
Kaspr s'est forgé une réputation dans le domaine de l'extraction de données grâce à son extension Chrome payante. Celle-ci permet à ses clients d'accéder aux coordonnées professionnelles d'individus à partir de leur profil LinkedIn. Fort d'une base de données de plus de 160 millions de contacts, Kaspr se targue de fournir un outil puissant pour la prospection commerciale.
Cependant, la méthode employée par l'entreprise pour constituer cette impressionnante base de données pose question. En effet, Kaspr collecte non seulement les informations publiques sur LinkedIn, mais aussi des données d'utilisateurs ayant choisi de limiter la visibilité de leur profil. Un procédé qui va à l'encontre des réglages de confidentialité du réseau social professionnel.
Une Amende Salée pour de Multiples Manquements au RGPD
Alertée par des plaintes d'individus ayant reçu des sollicitations commerciales non désirées, la Cnil a ouvert une enquête sur les pratiques de Kaspr. Les conclusions sont sans appel : l'entreprise a enfreint pas moins de 5 articles du RGPD.
Parmi les principaux griefs, on note l'absence de base légale pour la collecte de données, le non-respect de la durée de conservation, ainsi qu'un cruel manque de transparence vis-à-vis des personnes concernées. Des manquements qui ont conduit la Cnil a prononcer une amende administrative de 240 000 euros à l'encontre de Kaspr.
La collecte par Kaspr excédait ce à quoi pouvaient raisonnablement s'attendre les personnes qui s'inscrivent sur un réseau social professionnel.
- La Cnil
Une Injonction de Mise en Conformité
Au-delà de la sanction financière, la Cnil ordonne à Kaspr de se mettre en conformité avec le RGPD. Cela implique notamment de :
- Cesser la collecte de données des personnes ayant restreint la visibilité de leur profil LinkedIn
- Supprimer les données concernées
- Revoir sa politique de conservation des données
- Informer les personnes de la collecte de leurs données
L'entreprise dispose d'un délai expirant en juin 2025 pour se conformer à ces injonctions. À défaut, elle s'expose à de nouvelles sanctions de la part du régulateur.
Un Rappel à l'Ordre pour Toutes les Entreprises
Au-delà du cas Kaspr, cette décision de la Cnil sonne comme un avertissement pour toutes les sociétés amenées à traiter des données personnelles. Elle rappelle l'importance de :
- Respecter les choix des utilisateurs en matière de confidentialité
- Disposer d'une base légale pour toute collecte de données
- Être transparent sur les finalités et modalités de traitement
- Ne pas conserver les données au-delà du nécessaire
- Répondre aux demandes d'exercice des droits des personnes
Avec le RGPD, la protection des données personnelles n'est plus une option mais une obligation. Les entreprises ont tout intérêt à s'entourer d'experts pour auditer leurs pratiques et mettre en place les mesures adéquates. Car en matière de vie privée, mieux vaut prévenir que guérir !
