Décision de la CNIL concernant LUSHA SYSTEMS INC.

  • 22 May, ’23
  • RGPD

Une décision qui est passée inaperçue et pourtant très intéressante à analyser concerne LUSHA SYSTEMS INC.

La société LUSHA SYSTEMS INC. commercialise une extension pour navigateur web (l’extension Lusha) fournit des coordonnées d'internautes en visitant leur profil LinkedIn, Twitter, ou sur la plateforme de relation clients Salesforce.com. L’extension fonctionne grâce aux applications mobiles de gestions de contacts « Simpler », « Mailbook » et « Cleaner Pro ». Elles aspirent les carnets d’adresses des utilisateurs et étaient disponibles depuis le territoire français jusqu’en août 2022.

Cette extension a pour finalité de lutter contre la fraude en ligne. La CNIL a constaté que cette extension a également pour objectif de fournir aux clients des coordonnées professionnelles des personnes ciblées, en révélant les coordonnées professionnelles de ces personnes lorsque leur profil LinkedIn ou Salesforce est visité.

Dans sa délibération du 20 décembre 2022, l'autorité a conclu qu'il n'était pas justifié d'infliger une sanction à la société, car les éléments du dossier ne permettaient pas de démontrer que le RGPD s'appliquait à l'extension Lusha.

Voici l’explication plus en détail de la décision rendue par la CNIL :

  • « La société ne dispose d’aucun établissement dans l’UE, c’est pourquoi le critère de l’établissement prévu au paragraphe 1 de l’article 3 du RGPD ne lui est pas applicable ; »
  • « L’extension Lusha n’est pas liée à une offre de biens ou de services aux personnes concernées. Le critère relatif à l’offre de biens ou de services aux personnes concernées prévu au paragraphe 2, a) du même article n’est pas non plus applicable ; »
  • « Il n’était pas établi que les personnes concernées font bien l’objet d’un suivi de comportement par la société qui n’utilise pas de techniques de traitement de données à caractère personnel qui consistent en un profilage d’une personne physique. Le critère relatif au suivi de comportement des personnes concernées, prévu au paragraphe 2, b) de ce même article 3, n’est pas non plus applicable à la société. »

Cette décision révèle une potentielle faille dans le RGPD : l’absence sur le territoire de l'UE et le non ciblage des résidents européens permettrait de ne pas être concerné par le RGPD. Elle nous permet aussi de réfléchir à l’interdiction actuelle d’achat de base de données sans le consentement des personnes concernées. On avait pu voir ce cas-là lors de la liquidation judiciaire de Camaïeu.

En effet, lors de la mise aux enchères des actifs de l’entreprise, il était mentionné son fichier clients. La CNIL s’est penchée sur la problématique et a rappelé qu’il était obligatoire de recueillir le consentement libre et éclairé des individus pour que la cession du fichier soit conforme au RGPD. De plus, le fichier clients ne doit contenir que des clients actifs, c’est-à-dire dont la dernière relation commerciale avec l’entreprise remonte à moins de 3 ans. La vente du fichier clients de Camaïeu a finalement été abandonnée.

On peut légitimement se demander si on a le droit de vendre une base de données de contacts « professionnels » sans avoir même recueilli leur consentement. On peut alors penser à des futures mises à jour du RGPD afin de rectifier cette faille.

#RGPD #CNIL #Sanction
La CNIL rend sa décision concernant LUSHA SYSTEMS INC.

Benjamin Berthelot

Alternant DPO chez Solutions 909, je suis chargé de prestations RGPD auprès de nos clients, et de la rédaction d'articles sur les thèmes clés du métier : Protection des données et cybersécurité.