La Cnil sanctionne Kaspr d’une amende de 240 000 euros pour extraction de données illégale

La Cnil a annoncé, le 19 décembre 2024, avoir infligé une amende de 240 000 euros à l’éditeur de logiciels Kaspr pour « aspiration de données » illégale. La société a contrevenu à plusieurs articles du RGPD, notamment avec son extension payante pour Chrome. Cette dernière permet à ses utilisateurs d’obtenir les coordonnées d’un individu à partir de son profil LinkedIn.

Kaspr a pour cela constitué une base de données de 160 millions de contacts, à partir du réseau social et d’autres sites web, comme « des annuaires de noms de domaine ». Ces coordonnées permettaient ensuite aux utilisateurs de l’extension de vérifier l’identité d’un individu ou d’effectuer de la prospection commerciale.

Or, plusieurs personnes, qui avaient pourtant restreint leur partage d’informations personnelles sur LinkedIn, ont eu la mauvaise surprise d’être démarchées à partir des données de Kaspr. Elles ont alors saisi la Cnil, qui a déclenché une enquête.

Dans son jugement, la commission a estimé que « la collecte par Kaspr (…) excédait ce à quoi pouvaient raisonnablement s’attendre les personnes qui s’inscrivent sur un réseau social professionnel ». La Cnil a également jugé disproportionnée la durée de conservation des données (jusqu’à cinq ans pour les personnes dont le profil LinkedIn était public).

Kaspr s’est enfin rendu coupable d’un manque de transparence : la société n’a informé qu’en 2022 les personnes dont les données avaient été aspirées, quatre ans après le lancement de l’extension.