La Commission irlandaise de protection des données (DPC) a déposé une plainte contre le réseau professionnel LinkedIn, qui appartient à Microsoft. Amende d'un montant de 310 millions d'euros. L'enquête portait sur la Traitement des données personnelles des utilisateurs de LinkedIn à des fins d'analyse comportementale et de ciblage. Publicité. Ce que les autres entreprises peuvent apprendre de l'avis de contravention.
La CNIL transmet la plainte de LinkedIn à DPC
L'enquête de la DPC a été ouverte le 20 août 2018 à la suite d'une Plainte de l'organisation française à but non lucratif La Quadrature Du Net. Le site Plainte a d'abord été déposée auprès de la CNIL, puis transmise à la DPC en tant que chef de file. Autorité de surveillance pour LinkedIn.
Selon le communiqué de la DPC, l'enquête portait sur "la légalité, l'équité et le Transparence le Traitement des données personnelles des utilisateurs de la plateforme LinkedIn à des fins d'analyse comportementale et de ciblage des utilisateurs. Publicité". La DPC a constaté que les données à caractère personnel en question étaient des données fournies directement à LinkedIn par ses membres (données de première main) et des données collectées par LinkedIn par l'intermédiaire de ses partenaires tiers en relation avec ses membres (données de tiers).
Absence de consentement des utilisateurs de LinkedIn
Dans sa décision du 22 octobre 2024, la DPC a constaté plusieurs violations de la loi sur la protection des données. RGPD fermement :
- Art. 6 et art. 5, al. 1, let. a RGPD: LinkedIn n'a pas été en mesure de fournir une base juridique valable pour la Traitement de données sur les membres à des fins d'analyse du comportement et de recherche ciblée Publicité de l'année dernière. Concrètement, le DPC a constaté
- Le site Consentement n'était pas valable, car l'information obtenue par LinkedIn Consentement n'était pas volontaire, pas suffisamment informée ou pas spécifique et claire (article 6, paragraphe 1, point a)) RGPD).
- LinkedIn ne pouvait pas non plus invoquer efficacement l'article 6, paragraphe 1, point f). RGPD (intérêt légitime) afin de données à caractère personnel de ses membres pour des analyses de comportement et des Publicité ou de traiter des données de tiers à des fins d'analyse. Les intérêts et les libertés et droits fondamentaux des personnes concernées prévalent sur les intérêts de LinkedIn.
- LinkedIn n'a pas non plus été en mesure de Nécessité pour l'exécution du contrat (article 6, paragraphe 1, point b)) RGPD), étant donné que le traitement des données pour l'analyse comportementale et Publicité n'était pas nécessaire.
- LinkedIn n'a pas non plus fourni d'informations suffisantes sur les méthodes utilisées. Bases juridiques à disposition, ce qui est contraire aux exigences de transparence de RGPD viole les articles 13, paragraphe 1, sous c), et 14, paragraphe 1, sous c). RGPD.
- Article 5(1)(a) RGPD - Violation contre le principe d'équité : la DPC a constaté que le traitement des données par LinkedIn violait le principe d'équité, car les pratiques limitaient la confiance et la liberté de choix des utilisateurs en ce qui concerne leurs données personnelles.
Conseil de lecture : L'EDSA publie des lignes directrices sur l'intérêt légitime
Mesures et sanctions de la DPC à l'encontre de LinkedIn
En réponse à ces violations, la DPC a mis en œuvre différentes mesures :
- Un blâme contre LinkedIn en vertu de l'article 58, paragraphe 2, point b) RGPD.
- Trois amendes administratives d'un montant total de 310 millions d'euros, conformément à l'article 58, paragraphe 2, point i), et à l'article 83 RGPD.
- Une injonction de mettre le traitement des données en conformité avec la RGPD conformément à l'article 58, paragraphe 2, point d). RGPD.
Ce que les entreprises peuvent apprendre de la décision de LinkedIn
Cette décision met en évidence les énormes risques pour les entreprises qui données à caractère personnel sans base juridique appropriée. Les conséquences comprennent non seulement des sanctions financières, mais aussi des dommages durables à la réputation. Plusieurs enseignements et obligations découlent de cette décision pour les entreprises :
- Renforcement des mesures de conformité :
Les entreprises doivent s'assurer qu'elles disposent d'une base juridique valable pour les Traitement des données à caractère personnel et que les consentements, s'ils sont utilisés, répondent aux exigences strictes du RGPD suffisent. - Clarté et Transparence:
Les entreprises sont tenues de communiquer leurs pratiques de traitement des données de manière claire et compréhensible, afin que les utilisateurs soient informés des finalités et des conséquences du traitement des données et puissent exercer leurs droits. - Équité et droits des utilisateurs :
Les entreprises doivent non seulement garantir la base juridique de leur traitement de données, mais aussi assurer l'équité et la protection des droits des personnes concernées. - Risque de sanctions :
La décision montre que les infractions aux RGPD peuvent entraîner non seulement des conséquences juridiques, mais aussi des risques financiers considérables.
Le respect des principes d'équité, Transparence et la légalité dans le traitement des données n'est pas seulement une exigence juridique, mais aussi un facteur clé pour maintenir la confiance des utilisateurs. Les entreprises devraient donc revoir régulièrement leurs processus de traitement des données et s'assurer qu'ils répondent aux exigences strictes de la RGPD afin de minimiser les risques juridiques et de protéger les droits de leurs utilisateurs.
Vous souhaitez procéder à une évaluation des risques liés au RGPD pour votre entreprise ? Contactez-nous, nous nous ferons un plaisir de vous conseiller.
German 
English 
Italian 
French