Kaspr a été sanctionnée pour plusieurs violations du Règlement général sur la protection des données (RGPD). Il est reproché à l'entreprise d’avoir collecté les données de personnes sur LinkedIn, ayant pourtant limité leur visibilité, d’avoir prolongé automatiquement la durée de conservation de données personnelles, de ne pas avoir suffisamment informé les personnes concernées par la collecte et de ne pas avoir répondu convenablement aux demandes d’accès aux données.
La Cnil a annoncé, le 19 décembre 2024, avoir prononcé une sanction de 240 000 euros contre Kaspr. Cette entreprise propose une extension Chrome permettant à ses clients d’extraire les coordonnées professionnelles des utilisateurs lorsqu’ils consultent leur profil LinkedIn. La CNIL lui reproche d’avoir collecté ces données sans le consentement explicite de certains utilisateurs, ce qui constitue une infraction au RGPD.
Dans sa décision, l’autorité explique avoir reçu des plaintes de personnes démarchées par des entités ayant obtenu leurs coordonnées via l’extension Kaspr, alors même que ces utilisateurs avaient limité la visibilité de leurs informations.
« La CNIL a relevé à ce propos que pour ces personnes, le fait d’avoir choisi de rendre leurs coordonnées visibles par leurs relations de 1er et 2e niveaux, autrement dit leurs contacts directs et indirects sur le réseau social, ne revenait pas à autoriser KASPR à accéder à leurs coordonnées et à les collecter », a-t-elle précisé dans sa décision.
D’autres manquements au RGPD constatés
Même dans les cas où la collecte de données était licite, la CNIL reproche à Kaspr d’avoir conservé ces données pendant une « durée disproportionnée », en violation de l’article 5-1-e du RGPD, qui impose de définir et de respecter une durée de conservation proportionnée à la finalité du traitement.
De plus, Kaspr n’a informé les personnes concernées par la collecte de leurs données qu’en 2022, soit quatre ans après la mise en œuvre de son extension. Ce qui constitue une infraction aux articles 12 et 14 du RGPD, relatifs à l’obligation de transparence et d’information.
Un autre manquement concerne l’article 15, qui porte sur le droit d’accès des individus. « Lorsque des personnes ayant fait l’objet de démarchage interrogeaient la société KASPR sur la manière dont leurs coordonnées avaient été obtenues, celle-ci se contentait de répondre qu’elles provenaient de sources publiquement accessibles », a indiqué la CNIL. Or, Kaspr aurait dû être en mesure de fournir aux demandeurs des informations détaillées sur les sources exactes utilisées pour collecter leurs données.
La CNIL a enjoint Kaspr à se mettre en conformité avec les obligations du RGPD d’ici le 18 juin 2025.