L'abonnement à l'Informé est à usage individuel
Un autre appareil utilise actuellement votre compte
Continuer la lectureIl dévoile les portables d’utilisateurs LinkedIn, Lusha à nouveau dans le viseur de la CNIL
La gendarme des données personnelles a reçu des plaintes à l’encontre du logiciel qui révèle les coordonnées de nombreux utilisateurs du réseau social.
Cette fois-ci sera-t-elle la bonne ? Selon nos informations, la Commission nationale de l’informatique et des libertés (Cnil) enquête à nouveau sur Lusha, un logiciel qui permet de connaître les numéros de téléphone et les emails des utilisateurs du réseau professionnel LinkedIn (mais aussi ceux de la plateforme Salesforce.com). En version gratuite, cette extension pour navigateur permet d’accéder à un crédit de cinq contacts téléphoniques par mois. En version payante, ce nombre augmente selon la formule souscrite. Ces informations personnelles ne sont pas fournies par Microsoft, le propriétaire de LinkedIn, mais par Lusha Systems Inc elle-même : l’entreprise basée à Boston se charge de collecter des bases de données gigantesques pour les croiser ensuite avec les profils de la plateforme professionnelle. En France, la solution avait déjà inquiété des utilisateurs. En 2018 et 2021, certains avaient même déposé des plaintes auprès de la Cnil, mais un an plus tard, l’autorité avait finalement considéré « qu’il n’y avait pas lieu au prononcé d’une sanction » pour des raisons juridiques. Cette réponse pourrait évoluer prochainement sous l’égide d’une toute récente législation. De nouveaux signalements ont été adressés à l’autorité, qui a finalement décidé de rouvrir son enquête a appris l’Informé.
Dans le détail, les premières plaintes étaient restées lettre morte parce que la CNIL avait considéré que le règlement général sur la protection des données à caractère personnel (RGPD) n’était tout simplement pas applicable à l’entreprise américaine. En théorie, cette régulation peut s’appliquer à des acteurs installés en dehors de l’UE, mais seulement dans deux contextes très particuliers : soit parce que leur offre de biens ou de services vise spécifiquement des personnes physiques installées dans l’Union européenne, soit parce que ces acteurs mettent en œuvre un suivi comportemental des internautes du Vieux Continent. Or, pour le gendarme des données à caractère personnel, Lusha ne rentrait dans aucune des deux cases. D’une part, les personnes physiques en Europe, dont les données sont consultées sur LinkedIn par les clients de Lusha, ne sont pas forcément, elles-mêmes, utilisatrices de cette extension. D’autre part, l’éditeur n’utilise aucune technique de profilage.
Lusha bottée ?
Cette délibération avait fait réagir sur les bancs de l’Assemblée nationale. En 2024, dans le cadre des débats sur le projet de loi visant à sécuriser et réguler l’espace numérique (SREN), un amendement signé du député Éric Bothorel avait été adopté pour tenter de renverser cette réponse. En substance, le législateur a modifié le champ de la loi Informatique et Libertés pour préciser expressément que le critère du suivi de comportement (ou de profilage) est également vérifié lorsqu’un acteur collecte des données de personnes physiques afin de les rapprocher de leur activité en ligne. Une disposition taillée pour le cas de l’entreprise américaine. Contactée, la CNIL nous confirme instruire actuellement les nouvelles plaintes reçues postérieurement à sa décision de 2022. Des plaintes « notamment examinées à la lumière de la modification apportée à la loi Informatique et Libertés par la loi SREN ».
Pour sa part, Lusha nous précise ne pas être informée de ces nouvelles actions et assure n’avoir eu aucun échange avec l’autorité française depuis 2022. En parallèle, la société américaine a tout de même récemment modifié son offre commerciale pour réserver la consultation de certains numéros de téléphone et d’adresses email sur LinkedIn à ses seuls utilisateurs payants : « les lois de conformité limitent l’accès aux données de certains contacts », indique l’extension lorsqu’un utilisateur gratuit essaye d’obtenir ces données protégées. « En raison des réglementations nationales de ce contact, certains détails ne peuvent être révélés qu’en utilisant un compte payant ». La société ne nous a toujours pas détaillé quel était le cadre légal en cause ni sur quel critère certains contacts devenaient payants.
