LinkedIn condamné à une amende de 310 millions d'euros dans l'UE pour violation de la vie privée en matière de publicité ciblée,

Le site ne disposait pas d'une base légale pour diffuser ses publicités ciblées

LinkedIn condamné à une amende de 310 millions d'euros dans l'UE pour violation de la vie privée en matière de publicité ciblée
le site ne disposait pas d'une base légale pour diffuser ses publicités ciblées

LinkedIn, propriété de Microsoft, écope d'une amende de 310 millions d'euros (335 millions de dollars) en Europe pour avoir utilisé les données de ses membres à des fins de ciblage publicitaire sans leur consentement. La Commission irlandaise de protection des données a déclaré que « LinkedIn a violé le règlement général sur la protection des données (RGPD) de l'Union européenne lorsqu'il a traité les données des utilisateurs à des fins d'analyse comportementale et de publicité ciblée ». LinkedIn ne disposait pas d'une base légale pour collecter ces données. C'est l'une des amendes les plus importantes jamais imposées à une entreprise pour avoir enfreint le RGPD.

LinkedIn a collecté et traité illégalement les données des utilisateurs de l'UE

La Commission irlandaise de protection des données (Data Protection Commission - DPC) a sanctionné le site de réseautage social professionnel appartenant à Microsoft pour « des questions de légalité, d'équité et de transparence dans le traitement des données personnelles à des fins publicitaires ». La question a été traitée par la DPC, car LinkedIn et d'autres géants de la technologie ont implanté leurs sièges européens en Irlande, faisant de la DPC leur principal régulateur.


L'organisme de surveillance a déclaré avoir mené une enquête qui a révélé que LinkedIn ne disposait pas d'une base légale pour collecter des données afin de pouvoir cibler les utilisateurs avec des publicités en ligne, ce qui constitue une violation des règles de confidentialité connues sous le nom de règlement général sur la protection des données (RGPD). Le GDPR exige en effet que l'utilisation des informations personnelles repose sur « une base juridique appropriée ».

Dans le cas présent, les justifications sur lesquelles LinkedIn s'est appuyé pour mener son activité de suivi des annonces se sont révélées non valables. En outre, LinkedIn n'a pas correctement informé les utilisateurs de l'usage qu'il faisait de leurs informations. « En traitant injustement les données sans transparence ni consentement, LinkedIn a enfreint la loi », a-t-elle ajouté. Ce qui a valu à la filiale de Microsoft d'être condamné à une amende de 335 millions de dollars.

Graham Doyle, commissaire adjoint de la DPC, a déclaré dans un communiqué : « le traitement de données à caractère personnel sans base juridique appropriée constitue une violation claire et grave du droit à la protection des données dans l'UE ». Les informations personnelles traitées et utilisées par LinkedIn pour son activité de suivi publicitaire auraient inclus des données fournies directement par ses utilisateurs, et des données obtenues auprès de partenaires tiers.

LinkedIn a cherché à invoquer des bases juridiques fondées sur le « consentement », les « intérêts légitimes » et la « nécessité contractuelle » pour traiter les informations des personnes afin de suivre et de profiler ses utilisateurs à des fins de publicité comportementale. Cependant, la DPC a estimé qu'aucune de ces bases n'était valable. Le régulateur a également expliqué que LinkedIn n'a pas non plus respecté les principes de transparence et d'équité du RGPD.

Le consentement sur lequel s'est basé LinkedIn n'a pas été donné librement

L'affaire contre LinkedIn a débuté par une plainte déposée en France en 2018 par l'organisation à but non lucratif de défense des droits numériques La Quadrature Du Net. La CNIL, l'autorité de protection des données en France, a ensuite transmis la plainte à la DPC, en raison de son rôle de régulateur principal chargé d'examiner la conformité des entreprises technologiques au RGPD. La DPC a ouvert une enquête sur la plainte de La Quadrature Du Net en août 2018.

La DPC a soumis son projet de décision aux autres autorités de protection des données intéressées presque six ans plus tard (en juillet 2024). Aucune objection n'ayant été soulevée, la décision a été finalisée et l'exécution a maintenant été rendue publique. Outre l'amende, LinkedIn s'est vu accorder trois mois pour mettre ses activités européennes en conformité avec le RGPD. De son côté, LinkedIn a déclaré qu'elle pense que ses activités sont conformes au RGPD.

Selon la DPC, « le consentement obtenu par LinkedIn n'a pas été donné librement, n'a pas fait l'objet d'une information suffisante ou spécifique, et n'était pas non plus sans ambiguïté ». Le montant de l'amende catapulte LinkedIn en milieu de tableau dans le top 10 des plus grandes pénalités liées au RGPD pour les Big Tech. En outre, il s'agit de la sanction la plus sévère que LinkedIn a reçue à ce jour en matière de violations des règles de protection des données.

LinkedIn a récemment admis qu’il utilise les données des utilisateurs pour entraîner ses modèles d’IA sans leur consentement préalable. Cette pratique soulève des préoccupations majeures en matière de confidentialité et de protection des données personnelles. LinkedIn emboîte le pas à une série d'entreprises qui ont commencé à utiliser les données personnelles de leurs utilisateurs pour former leurs modèles d'IA, souvent sans le consentement éclairé des individus.

S'il est possible de se désinscrire, LinkedIn note : « le fait de vous désinscrire signifie que LinkedIn et ses sociétés affiliées n'utiliseront pas vos données personnelles pour former des modèles à l'avenir. Mais cela n'affecte pas la formation qui a déjà eu lieu ». Concrètement, toutes les données qui ont déjà été utilisées par LinkedIn pour son IA continueront à être utilisées par l'outil. Les critiques appellent les régulateurs à sévir contre ce nouvel appétit pour les données.

Les régulateurs européens ont l'habitude d'appliquer de manière rigoureuse les règles du RGPD relatives à la manière dont les entreprises technologiques traitent les données des utilisateurs. L'année dernière, la DPC a infligé à Meta une amende de 1,2 milliard d'euros (1,3 milliard de dollars) pour avoir transféré les données personnelles des utilisateurs de Facebook en dehors de l'UE. (Meta est propriétaire des plateformes Facebook, WhatsApp, Threads et Instagram.)

En juillet 2021, la Commission nationale de la protection des données du Luxembourg a infligé à Amazon une amende de 746 millions d'euros (815 millions de dollars) pour n'avoir pas obtenu le consentement de ses clients avant d'utiliser leurs données personnelles à des fins de ciblage publicitaire.

Sources : Commission irlandaise de la protection des données, LinkedIn

Et vous ?

Quel est votre avis sur le sujet ?

Voir aussi

RGPD : la Quadrature du Net et 12 000 internautes déposent des plaintes à la CNIL pour attaquer les GAFAM en recours collectif

LinkedIn entraîne son IA avec les données des utilisateurs : voici comment vous désinscrire. LinkedIn confirme ne pas collecter les données des utilisateurs dans l'Espace Économique européen et en Suisse

Une fuite massive expose plus de 26 milliards d'enregistrements et est qualifiée de "mère de toutes les brèches" par les chercheurs, elle comprend des données provenant de Dropbox, LinkedIn, etc.