🚨 Sanctions RGPD : 240 000 € d'amendes pour KASPR

🚨 Sanctions RGPD : 240 000 € d'amendes pour KASPR

Le 5 décembre l'entreprise KASPR a été sanctionnée par la CNIL pour plusieurs manquements au RGPD notamment la collecte et le traitement illicite des données personnelles via une extension Chrome utilisée sur LinkedIn.


🔍 Collecte illégale des données sur LinkedIn (Article 6 du RGPD)

KASPR collectait les coordonnées professionnelles des utilisateurs de LinkedIn, même lorsque ces derniers avaient explicitement limité la visibilité de leurs informations. Le RGPD impose une base légale pour toute collecte de données personnelles.

Pour contacter un utilisateur via LinkedIn, une entreprise doit :

  • Avoir un intĂ©rĂŞt lĂ©gitime, par exemple pour une prospection commerciale compatible avec les attentes de l'utilisateur.
  • Obtenir un consentement prĂ©alable si les donnĂ©es collectĂ©es dĂ©passent ce que l’utilisateur a volontairement rendu accessible.

Dans le cas de KASPR, les utilisateurs ayant restreint la visibilité de leurs coordonnées à leurs seuls contacts directs ou indirects n'avaient pas donné leur accord pour que ces informations soient collectées par un tiers. Ces pratiques sont qualifiées de collecte illicite par la CNIL.


🗄️ Conservation trop longue des données (Article 5-1-e du RGPD)

KASPR conservait les données personnelles pendant 5 ans, un délai prolongé à chaque mise à jour des informations, par exemple lorsqu’un utilisateur changeait de poste.

Le RGPD exige que les données soient conservées uniquement pour une durée strictement nécessaire à la finalité initiale de leur collecte. Conserver des données pendant 5 ans sans justification proportionnée, surtout après un changement de poste ou de contexte professionnel, est jugé disproportionné par la CNIL.


📢 Manque de transparence et d’information (Articles 12 et 14 du RGPD)

KASPR n’a commencĂ© Ă  informer les personnes concernĂ©es que quatre ans après le lancement de l’outil.

Cette information se faisait par un e-mail rédigé en anglais, ce qui rendait l'accès aux droits des utilisateurs difficile, notamment pour les non-anglophones.

Le RGPD impose une information claire et compréhensible des personnes concernées. Cela inclut des détails sur la nature des données collectées, leur origine, leur finalité, et les droits des utilisateurs, dans une langue qu’ils maîtrisent.


🔑 Refus d’expliquer l’origine des données (Article 15 du RGPD)

Lorsqu’une personne demandait l’origine de ses coordonnées, KASPR répondait simplement qu’elles provenaient de « sources publiques », sans davantage de précisions. Le RGPD exige que les entreprises fournissent toutes les informations disponibles sur la provenance des données collectées.

Bien que KASPR ne puisse techniquement identifier la source exacte pour chaque individu, elle avait connaissance des plateformes et annuaires utilisés, listés dans sa politique de confidentialité. Elle aurait donc dû partager ces informations avec les personnes concernées.


Info
Comment Ă©viter ces erreurs ?

1. Arrêter la collecte illégale de données ou prévenir les utilisateurs et leur donner la possibilité de s’opposer.

2. Limiter la durée de conservation des données à ce qui est nécessaire.

3. Informer les personnes dans une langue qu’elles comprennent.

4. Répondre correctement aux demandes sur l’origine des données.

Ă€ bientĂ´t sur Mission RGPD !

Tom
Juriste protection des données personnelles - Mission RGPD