Kaspr condamnée à verser 240 000 d’euros pour aspiration de données

kaspr condamnation

Dans notre dernière revue qui analysait les avis négatifs sur Kaspr, on avait déjà pressenti que tôt ou tard l’entreprise serait épinglée par la Cnil. Et maintenant, c’est chose faite, car en violant les articles 12, 14 et 15 du RGPD, ils sont condamnés à payer une amende de 240 000 euros.

Kaspr accusée de collecte illicite de données sur LinkedIn

La stratégie de Kaspr repose sur une promesse alléchante pour les entreprises : faciliter une prospection ciblée et massive en B2B et B2C. Pour tenir cet engagement, la société a construit une base de données gigantesque, contenant plus de 160 millions de contacts professionnels. Cette base inclut des coordonnées collectées via LinkedIn, un réseau social professionnel reconnu pour la richesse et la qualité des informations qu’il héberge.

Cependant, la manière dont Kaspr a obtenu certaines de ces données soulève des questions majeures sur la légalité de ses pratiques. En effet, LinkedIn offre à ses utilisateurs plusieurs niveaux de confidentialité pour gérer la visibilité de leurs informations personnelles, tels que :

🔒 Uniquement visible par moi : L’utilisateur choisit de garder ses données strictement privées.
👤 Relations de 1er niveau : Seules les connexions directes ont accès aux informations.
👥 Relations de 1er et 2e niveaux : Les connexions directes et leurs contacts peuvent voir les informations.
🌍 Tout le monde sur LinkedIn : Les données sont accessibles publiquement sur la plateforme.

Or, Kaspr aurait contourné ces paramètres de confidentialité pour permettre à ses clients d’accéder à des données normalement restreintes ou privées, comme celles définies sous les options « uniquement visible par moi » ou « relations de 1er niveau ».

Ces pratiques ont entraîné une vague de mécontentement, et de nombreux utilisateurs se sont tournés vers la CNIL pour déposer des plaintes. L’enquête menée par l’autorité française de protection des données a révélé que Kaspr enfreignait plusieurs articles du RGPD, notamment :

🔍 Article 12 : Obligation de fournir des informations claires et transparentes sur l’utilisation des données.
🛡️ Article 14 : Obligation d’informer les individus dont les données sont collectées indirectement.
📄 Article 15 : Droit des utilisateurs d’accéder à leurs données et de contrôler leur utilisation.

La Cnil impose une amende de 240 000 euros à Kaspr

La Commission Nationale de l’Informatique et des Libertés (CNIL), organe chargé de veiller au respect des droits des citoyens en matière de protection des données, n’a pas tardé à réagir face aux pratiques illégales de Kaspr. Après une enquête approfondie, l’autorité a infligé une amende de 240 000 euros, marquant ainsi un rappel sévère des exigences imposées par le RGPD.

Le montant de l’amende reflète la gravité des infractions commises par Kaspr. Ce type de sanction est calculé en fonction de plusieurs critères, notamment :

📊 La nature et la portée des violations : Kaspr a délibérément contourné les paramètres de confidentialité de LinkedIn, affectant potentiellement des millions d’utilisateurs.
📉 Les dommages subis par les utilisateurs : Ces pratiques ont exposé des informations personnelles sensibles, sans le consentement des intéressés.
🔄 La répétition ou l’intentionnalité des actes : Les méthodes utilisées par Kaspr suggèrent une volonté de contourner les règles pour servir ses intérêts commerciaux.

Avec cette décision, la CNIL souhaite non seulement punir l’entreprise, mais également envoyer un message clair à l’ensemble des acteurs économiques : le non-respect du RGPD est inacceptable.

Outre la sanction financière, la CNIL a imposé à Kaspr une série d’injonctions visant à corriger ses pratiques. Ces mesures obligatoires incluent :

  1. L’interdiction de collecter des données sans autorisation
    Kaspr ne peut plus exploiter les coordonnées de profils LinkedIn si les utilisateurs ont choisi des paramètres de confidentialité restreints, tels que « uniquement visible par moi » ou « relations de 1er niveau ».
  2. L’obligation de demander un consentement explicite
    Avant d’intégrer les données dans sa base de prospection, l’entreprise doit obtenir le consentement clair et explicite des personnes concernées, conformément à l’article 6 du RGPD. Cela signifie que toute utilisation des données devra être précédée d’une information transparente et détaillée, permettant aux utilisateurs de donner leur accord en toute connaissance de cause.
  3. La suppression des données collectées illégalement
    Kaspr devra procéder à un nettoyage complet de sa base de données, en supprimant toutes les informations obtenues de manière illicite. Cela inclut les coordonnées des utilisateurs qui n’ont jamais consenti à l’exploitation de leurs données personnelles.

Comments

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *