La Commission irlandaise de protection des données (DPC) a infligé une amende de 310 millions d'euros à LinkedIn, le réseau professionnel appartenant à Microsoft. L'enquête portait sur le traitement des données personnelles des utilisateurs de LinkedIn à des fins d'analyse comportementale et de publicité ciblée. Ce que les autres entreprises peuvent apprendre de cette amende.
La CNIL transmet la plainte de LinkedIn à DPC
L'enquête de la DPC a été lancée le 20 août 2018 suite à une plainte déposée par l'organisation française à but non lucratif La Quadrature Du Net. La plainte a d'abord été déposée auprès de la CNIL française, puis transmise à la DPC dans son rôle d'autorité de contrôle principale pour LinkedIn.
Selon le communiqué de la DPC, l'enquête portait sur "la légalité, l'équité et la transparence du traitement des données à caractère personnel des utilisateurs de la plateforme LinkedIn à des fins d'analyse comportementale et de publicité ciblée". La DPC a constaté que les données à caractère personnel en question étaient des données fournies directement à LinkedIn par ses membres (données de première main) et des données collectées par LinkedIn via ses partenaires tiers en relation avec ses membres (données de tiers).
Absence de consentement des utilisateurs de LinkedIn
Dans sa décision du 22 octobre 2024, la DPC a constaté plusieurs violations du RGPD :
- Article 6 et article 5, paragraphe 1, point a) du RGPD : LinkedIn n'a pas pu présenter de base juridique valable pour le traitement des données des membres à des fins d'analyse comportementale et de publicité ciblée. Concrètement, le DPC a constaté
- Le consentement n'était pas valable, car le consentement recueilli par LinkedIn n'était pas libre, pas suffisamment informé ou pas spécifique et univoque (article 6, paragraphe 1, point a), du RGPD).
- LinkedIn ne pouvait pas non plus invoquer valablement l'article 6, paragraphe 1, point f), du RGPD (intérêt légitime) pour traiter les données à caractère personnel de ses membres à des fins d'analyse comportementale et de publicité ciblée ou les données de tiers à des fins d'analyse. Les intérêts et les libertés et droits fondamentaux des personnes concernées prévalent sur les intérêts de LinkedIn.
- LinkedIn ne pouvait pas non plus invoquer la nécessité d'exécuter un contrat (article 6, paragraphe 1, point b), du RGPD), car le traitement des données n'était pas nécessaire pour l'analyse comportementale et la publicité.
- LinkedIn n'a pas non plus fourni suffisamment d'informations sur les bases juridiques utilisées, ce qui est contraire aux exigences de transparence du RGPD, article 13, paragraphe 1, point c), et article 14, paragraphe 1, point c), du RGPD.
- Article 5(1)(a) du RGPD - Violation du principe d'équité : la DPC a constaté que le traitement des données par LinkedIn violait le principe d'équité, car les pratiques restreignaient la confiance et la liberté de choix des utilisateurs en ce qui concerne leurs données personnelles.
Conseil de lecture : L'EDSA publie des lignes directrices sur l'intérêt légitime
Mesures et sanctions de la DPC à l'encontre de LinkedIn
En réponse à ces violations, la DPC a mis en œuvre différentes mesures :
- Un blâme contre LinkedIn conformément à l'article 58, paragraphe 2, point b) du RGPD.
- Trois amendes administratives d'un montant total de 310 millions d'euros, conformément à l'article 58, paragraphe 2, point i), et à l'article 83 du RGPD.
- une injonction de mettre le traitement des données en conformité avec le RGPD, conformément à l'article 58, paragraphe 2, point d), du RGPD.
Ce que les entreprises peuvent apprendre de la décision de LinkedIn
Cette décision met en évidence les risques énormes encourus par les entreprises qui traitent des données à caractère personnel sans base juridique appropriée. Les conséquences comprennent non seulement des sanctions financières, mais aussi des dommages durables pour la réputation. Plusieurs enseignements et obligations découlent de cette décision pour les entreprises :
- Renforcement des mesures de conformité :
Les entreprises doivent s'assurer qu'elles peuvent prouver qu'elles disposent d'une base juridique valable pour le traitement des données à caractère personnel et que les consentements, lorsqu'ils sont utilisés, répondent aux exigences strictes du RGPD. - Clarté et transparence :
Les entreprises sont tenues de communiquer leurs pratiques de traitement des données de manière claire et compréhensible, afin que les utilisateurs soient informés des finalités et des conséquences du traitement des données et puissent exercer leurs droits. - Équité et droits des utilisateurs :
Les entreprises doivent non seulement garantir la base juridique de leur traitement de données, mais aussi assurer l'équité et la protection des droits des personnes concernées. - Risque de sanctions :
Cette décision montre que les infractions au RGPD peuvent entraîner non seulement des conséquences juridiques, mais aussi des risques financiers considérables.
Le respect des principes d'équité, de transparence et de légalité dans le traitement des données n'est pas seulement une exigence juridique, c'est aussi un facteur clé pour conserver la confiance des utilisateurs. Les entreprises devraient donc revoir régulièrement leurs processus de traitement des données et s'assurer qu'ils respectent les exigences strictes du RGPD afin de minimiser les risques juridiques et de protéger les droits de leurs utilisateurs.
Vous souhaitez procéder à une évaluation des risques liés au RGPD pour votre entreprise ? Contactez-nous, nous nous ferons un plaisir de vous conseiller.