Le réseau social avait certaines habitudes qui n’étaient pas du goût de l’autorité de protection des données personnelles irlandaise. Notamment le traitement des informations d’internautes non inscrits sur LinkedIn dans le cadre de campagnes ciblées.
LinkedIn s’est mis en conformité avec le RGPD… à marche forcée. Le réseau social professionnel, propriété de Microsoft, a eu droit à la visite de la Data Protection Commissioner irlandaise suite à la plainte d’un utilisateur. Ce dernier affirmait ne pas être inscrit à LinkedIn qui a pourtant utilisé son adresse email dans le cadre d’une campagne publicitaire ciblée sur Facebook.
Suite à cet audit, la DPC « a identifié que LinkedIn Corporation aux États-Unis, qui traite les données de LinkedIn Irlande, avait traité des adresses e-mail hachées d'environ 18 millions de internautes non inscrits sur LinkedIn et avait ciblé ces personnes sur la plate-forme Facebook en l'absence d'instruction du responsable de données (c.-à-d. LinkedIn Irlande) ». L’affaire a finalement été résolue à l’amiable, l’entreprise acceptant de mettre fin au traitement de ces données. Mais le rapport ne précise pas comment LinkedIn a mis la main sur 18 millions d’adresses.
A l’amiable
Echaudée par ses premières découvertes, la DPC a poussé ses investigations plus en profondeur. « La DPC était préoccupée par les problèmes systémiques plus larges identifiés et un audit a été lancé pour vérifier que LinkedIn avait mis en place des mesures de sécurité techniques et organisationnelles appropriées, en particulier pour le traitement des données non-membres et la conservation de ces données » écrit-elle. Bingo !
LinkedIn pratique une cartographie d’internautes non-inscrits afin de leur suggérer de s’inscrire. Ce que l’autorité considère comme un traitement de données personnelles, effectué sans le moindre recueil du consentement des concernés. Résolution à l’amiable une fois encore, LinkedIn Ireland ordonnant à sa maison mère de cesser ces vilaines pratiques, et ce avant le 25 mai s’il vous plaît.