LinkedIn sanctionné pour exploitation abusive des données personnelles de ses membres

Irish Data Protection Commission, 24 octobre 2024 : condamnation à une amende de 310 millions d’euros prononcée, à l’encontre de LinkedIn, par la Commission irlandaise pour la protection des données.

À la commission irlandaise pour la protection des données (Data Protection Commission – DPC) a été transmise une plainte, qui avait été initialement déposée, par La Quadrature du Net, auprès de son homologue française, la Commission nationale de l’informatique et des libertés (Cnil), concernant les conditions de collecte et d’exploitation, à des fins de ciblage publicitaire, des données personnelles des membres et des utilisateurs du réseau LinkedIn. À celui-ci étaient reprochés des faits de manquements aux exigences, notamment de transparence et de loyauté, imposées par le règlement (UE) n° 2016/679, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données – RGPD), dit d’« applicabilité directe », par les instances nationales.

La commission irlandaise fonde sa décision sur différents articles du règlement européen, dont l’article 5, énonçant les « principes relatifs au traitement des données à caractère personnel », selon lequel « les données à caractère personnel doivent être : a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ; b) collectées pour des finalités déterminées, explicites et légitimes […] (limitation des finalités) ; c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ; d) exactes et, si nécessaire, tenues à jour […] (exactitude) ; e) conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées […] (limitation de la durée de conservation) ; f) traitées de façon à garantir une sécurité appropriée des données à caractère personnel […] (intégrité et confidentialité) » ; l’article 6, relatif à la « licéité du traitement », selon lequel « le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie : a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques » ; l’article 13 déterminant les « informations à fournir lorsque les données à caractère personnel sont collectées auprès de la personne concernée ».

Considérant que ces différentes contraintes et obligations n’ont pas été respectées dans la collecte et l’exploitation effectuées, à des fins de ciblage publicitaire, par le réseau LinkedIn, des données personnelles de ses membres et utilisateurs, la commission irlandaise, par sa décision du 24 octobre 2024, le condamne, sur la base des articles 58 et 83 (déterminant les pouvoirs d’enquête et de sanction des instances nationales de protection des données personnelles) du RGPD, à une amende de 310 millions d’euros et à se mettre en conformité avec les exigences du règlement européen.