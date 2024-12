On ne pille pas en toute impunité

Sanctions et obligations imposées à Kaspr

Nous avons réalisé des efforts notables pour répondre aux préoccupations de la CNIL et continuons à ajuster nos politiques conformément à ses conclusions

Extrait de la décision : la CNIL a prononcé une amende de 240 000 euros pour l’ensemble de ces manquements, et a enjoint à la société KASPR de :



cesser de collecter les données des personnes ayant choisi de limiter la visibilité de leurs coordonnées, et de supprimer les données collectées de cette manière. À défaut, en cas d’impossibilité de distinguer les données dont la visibilité a été limitée, la société devra – dans un délai de 3 mois – informer les personnes concernées du traitement de leurs données et de la possibilité de s’y s’opposer, et de n’utiliser leurs données que dans ce but ;



- cesser le renouvellement automatique de la conservation des données personnelles des personnes cibles ;



- informer les personnes dont les données sont collectées dans une langue qu’elles maîtrisent ;



faire suite aux demandes de droit d’accès des personnes en leur donnant toutes les informations dont elle dispose sur les sources de collecte des données.

La CNIL a assorti ces injonctions d’un délai de mise en conformité de six mois expirant le 18 juin 2025.

Dans sa décision publiée hier,. Dans les faits, Kaspr collectaitd’utilisateurs LinkedIn, qui avaient pourtant limité leur visibilité à leurs contacts ou à un cercle restreint, et ce, sans permettre leur accès généralisé. Ces informations étaient ensuite accessibles via une extension de navigateur commercialisée par Kaspr.Par cette pratique peu honorable, l’entreprise a enrichi sa base de données, qui contient environ, en aspirant des informations non seulement depuis LinkedIn mais aussi depuis d’autres sites. De même, il a été constaté que les données collectées étaient stockées au-delà de la durée permise par la législation (article 5-1-e du RGPD) et que les personnes ne disposaient de leur droit aux demandes d’exercice du droit d’accès (article 15 du RGPD)Globalement, la Commission retient, les utilisateurs concernés n’étant pas informés suffisamment tôt, ni clairement sur la manière dont leurs données étaient récupérés et encore moins utilisées. En outre, des réponses incomplètes ont été fournies aux utilisateurs, qui cherchaient des explications.Dans ces conditions, il a été prononcépour non-respect du RGPD, la mise en conformité obligatoire dans un délai de six mois, arrêt immédiat de la collecte de données concernant les utilisateurs ayant choisi une visibilité limitée, application de pratiques conformes pour garantir la protection des données personnelles.De son côté,. Elle affirme avoir entrepris des efforts de mise en conformité :