La CNIL, dans une décision du 5 décembre 2024, a prononcé une amende de 240 000 € contre la société KASPR pour avoir collecté les coordonnées d’utilisateurs de LinkedIn.
KASPR propose une extension Chrome permettant à ses utilisateurs d’accéder aux informations de contacts de plus de 160 millions de personnes. Une fois activé, l’outil recherche toutes les informations disponibles en ligne et les affiche directement sur la page sur laquelle se trouve l’utilisateur.
À la suite du dépôt de plusieurs plaintes, la formation restreinte de la CNIL a effectué un contrôle et a relevé quatre manquements au RGPD :
Les données des utilisateurs de Linkedin ont été collectées illicitement, cette collecte s’étant effectuée non seulement sur les personnes ayant coché « tout le monde sur LinkedIn peut accéder à mes données personnelles » dans les réglages de leurs comptes, mais également aux personnes ayant coché « uniquement les relations de premier degré », et « uniquement les relations de premier et second degré ». Les utilisateurs KASPR synchronisaient l’extension KASPR avec leur compte LinkedIn, ce qui a permis à KASPR de récupérer les coordonnées disponibles sur LinkedIn des contacts directs des utilisateurs. KASPR pouvait ainsi accéder à ces données de contact et les communiquer à ses autres utilisateurs.
Les données étaient conservées pendant 5 ans, durée que la CNIL a estimé disproportionnée.
● KASPR n’a informé les personnes concernées que quatre ans après la collecte de leurs données par un courrier en anglais, ce qui ne permet pas une information transparente et compréhensible.
● KASPR se contentait d’indiquer que les coordonnées avaient été collectées à partir de sources publiquement accessibles, information trop peu précise compte tenu des informations dont elle disposait sur les sources des données.
La CNIL a enjoint KASPR de se mettre en conformité et a prononcé une amende de 240 000 euros.
