La Commission irlandaise pour la protection des données (DPC), qui agit pour le compte de l’Union européenne après une plainte déposée en 2018 par l’association française la Quadrature du Net, a notamment estimé que « le consentement obtenu par LinkedIn » auprès de ses utilisateurs pour l’utilisation de leurs données « n’a pas été donné librement, ni été suffisamment éclairé ou spécifique, ni sans ambiguïté ».
Au-delà de l’amende, première dans l’UE pour LinkedIn, la DPC enjoint le réseau social « de mettre son traitement (des données) en conformité » avec le RGPD, poursuit-elle dans un communiqué. Sa décision complète sera publiée ultérieurement.
L’analyse comportementale et la publicité ciblée consistent à utiliser les informations fournies, déduites ou observées à propos d’un individu pour lui proposer des annonces sur mesure.
L’association de défense des internautes la Quadrature du Net avait déposé en 2018 cinq plaintes collectives contre LinkedIn (Microsoft) mais aussi Google, Apple, Facebook et Amazon, les accusant d’exploiter de manière illégale les données personnelles de leurs usagers.
Les plaintes, qui rassemblaient les noms de près de 12.000 personnes, avaient d’abord été déposées au siège de la Cnil (Commission nationale informatique et liberté), à Paris.
Le dossier visant Linkedn avait été transmis à son homologue irlandais, compétent pour agir au nom de l’UE car le siège européen de Microsoft se trouve en Irlande, comme ceux de nombreux géants de la Silicon Valley – par exemple Apple, TikTok, X, Meta ou Google.
Association française à la pointe des combats contre la surveillance numérique, qu’elle vienne des géants de la tech ou des États, la Quadrature du Net estimait que les entreprises visés par ses plaintes ne respectaient pas les règles dans leur manière de recueillir le consentement des internautes.
Elle pointait notamment les cases pré-cochées, ou les clauses stipulant que la continuation de l’utilisation du service vaut acceptation, et demandait « l’interdiction des traitements d’analyse comportementale et de ciblage publicitaire » ainsi qu’une amende administrative « la plus élevée possible ».
« Le traitement des données personnelles sans base juridique appropriée constitue une violation claire et grave du droit fondamental » dont bénéficient les utilisateurs, a martelé Graham Doyle, responsable de la communication du régulateur irlandais.
