Le réseau social professionnel LinkedIn vient d’écoper d’une amende salée de 356 millions d’euros de la part des autorités européennes de protection des données. La raison ? De multiples infractions au Règlement général sur la protection des données (RGPD) liées à son activité de publicité ciblée.
C’est la Commission irlandaise sur la protection des données (DPC), en charge de la supervision du respect du RGPD par Microsoft qui possède LinkedIn, qui a prononcé cette sanction record. Son enquête a révélé un manque de transparence et des bases légales invalides pour le traitement des données personnelles à des fins publicitaires.
Des justifications insuffisantes pour le tracking publicitaire
Pour justifier la collecte et l’utilisation des données de ses utilisateurs à des fins de publicité comportementale, LinkedIn avait invoqué tour à tour le consentement, l’intérêt légitime et la nécessité contractuelle. Mais aucun de ces fondements n’a été jugé valable par le régulateur irlandais :
- Le consentement n’était pas valablement recueilli
- L’intérêt légitime du réseau ne primait pas sur les droits des utilisateurs
- Le ciblage publicitaire ne relevait pas d’une nécessité contractuelle
Le respect de la loi est un aspect fondamental de la protection des données. Tout traitement de données personnelles sans base légale appropriée constitue une violation claire et grave des droits des personnes.
Graham Doyle, Commissaire adjoint de la DPC irlandaise
Une plainte initiée par une association française
À l’origine de cette sanction, on trouve une plainte déposée dès 2018 par La Quadrature du Net, une association française de défense des droits et libertés des citoyens sur Internet. C’est elle qui avait saisi la CNIL, l’homologue française de la DPC, concernant les pratiques de ciblage publicitaire de LinkedIn.
Le dossier avait ensuite été transmis à l’autorité irlandaise, compétente pour contrôler LinkedIn en Europe, déclenchant une longue enquête de plus de 6 ans. La procédure prévue par le RGPD en cas de traitements transfrontaliers impliquant plusieurs autorités nationales explique en partie ce délai.
3 mois pour se mettre en conformité
Outre l’amende qui représente près de 1% de son chiffre d’affaires mondial, LinkedIn devra aussi revoir ses pratiques pour se conformer pleinement au RGPD. Le réseau social s’est vu accorder un délai de 3 mois pour apporter les changements nécessaires à ses opérations de publicité ciblée.
Bien que nous pensions avoir toujours agi dans le respect du RGPD, nous mettons tout en œuvre pour suivre la décision de la DPC dans les temps impartis.
Jonny Wing, porte-parole de LinkedIn
Un rappel que même les géants du web ne peuvent faire fi des règles européennes en matière de données personnelles. Avec cette sanction exemplaire, l’Europe montre sa détermination à faire respecter les droits numériques de ses citoyens.
