La Commission irlandaise de protection des données (DPC) a annoncé aujourd’hui sa décision finale suite à une enquête menée sur LinkedIn Ireland Unlimited Company (LinkedIn). Cette enquête a été lancée par la DPC, en sa qualité d’autorité de contrôle principale de LinkedIn, suite à une plainte déposée initialement auprès de l’Autorité française de protection des données.
L’enquête a examiné le traitement par LinkedIn des données personnelles à des fins d’analyse comportementale et de publicité ciblée des utilisateurs ayant créé des profils LinkedIn (membres). La décision, prise par les commissaires à la protection des données, Dr Des Hogan et Dale Sunderland, et notifiée à LinkedIn le 22 octobre 2024, concerne la licéité, la loyauté et la transparence de ce traitement. La décision comprend un blâme, une injonction à LinkedIn de mettre son traitement en conformité et des amendes administratives d’un montant total de 310 millions d’euros.
En juillet 2024, la DPC a soumis un projet de décision au mécanisme de coopération du RGPD, comme l’exige l’article 60 du RGPD. Aucune objection n’a été soulevée à l’encontre du projet de décision de la DPC. La DPC est reconnaissante de la coopération et de l’assistance de ses homologues de l’UE/EEE dans cette affaire.
La décision finale de la DPC enregistre les constatations suivantes de violation du RGPD :
- Article 6 du RGPD et article 5(1)(a) du RGPD, dans la mesure où il exige que le traitement des données personnelles soit licite, comme LinkedIn :
- N’a pas valablement invoqué l’article 6(1)(a) du RGPD (consentement) pour traiter les données de tiers de ses membres à des fins d’analyse comportementale et de publicité ciblée au motif que le consentement obtenu par LinkedIn n’était pas donné librement, suffisamment éclairé ou spécifique, ou sans ambiguïté.
- LinkedIn n’a pas valablement invoqué l’article 6(1)(f) du RGPD (intérêts légitimes) pour traiter les données personnelles propriétaires de ses membres à des fins d’analyse comportementale et de publicité ciblée, ou les données de tiers à des fins d’analyse, car les intérêts de LinkedIn ont été supplantés par les intérêts et les droits et libertés fondamentaux des personnes concernées.
- N’a pas valablement invoqué l’article 6(1)(b) du RGPD (nécessité contractuelle) pour traiter les données propriétaires de ses membres à des fins d’analyse comportementale et de publicité ciblée.
- Articles 13(1)(c) et 14(1)(c) du RGPD, concernant les informations fournies par LinkedIn aux personnes concernées concernant son recours à l’article 6(1)(a), à l’article 6(1)(b) et à l’article 6(1)(f) du RGPD comme bases légales.
- Article 5(1)(a) du RGPD, le principe d’équité.
Le commissaire adjoint du DPC, Graham Doyle, a commenté :
«La licéité du traitement est un aspect fondamental du droit relatif à la protection des données et le traitement de données à caractère personnel sans base juridique appropriée constitue une violation claire et grave du droit fondamental à la protection des données d’une personne concernée.»
La DPC publiera la décision complète et d’autres informations connexes en temps voulu.
Informations complémentaires
Cette décision fait suite à une enquête sur plainte lancée le 20 août 2018 à la suite d’une plainte déposée par l’association française à but non lucratif La Quadrature Du Net. La plainte a été initialement déposée auprès de l’Autorité de protection des données française, puis transmise à la DPC en sa qualité d’autorité de contrôle principale de LinkedIn, qui agit en tant que responsable du traitement des données personnelles en cause.
Cette enquête a examiné la licéité, la loyauté et la transparence du traitement des données personnelles des utilisateurs de la plateforme LinkedIn à des fins d’analyse comportementale et de publicité ciblée. Les données personnelles en question comprenaient des données fournies directement à LinkedIn par ses membres (données first-party) et des données obtenues via ses partenaires tiers concernant ses membres (données third-party).
Le RGPD exige que le traitement des données personnelles soit fondé sur l’une des bases juridiques décrites à l’article 6(1) du RGPD, telles que le consentement, la nécessité contractuelle ou les intérêts légitimes. En fonction de la base juridique choisie par les responsables du traitement, certaines conditions doivent être remplies. Par exemple, tout consentement obtenu doit répondre à la norme requise par le RGPD, à savoir être une indication libre, spécifique, éclairée et sans ambiguïté des souhaits de la personne concernée.
Le RGPD exige également que le traitement soit effectué de manière équitable. L’équité est un principe fondamental qui exige que les données personnelles ne soient pas traitées d’une manière préjudiciable, discriminatoire, inattendue ou trompeuse pour la personne concernée. L’absence d’équité peut entraîner une perte d’autonomie des personnes concernées sur leurs données personnelles, les mettre dans une position où elles peuvent être incapables d’exercer d’autres droits du RGPD et avoir un impact sur leurs droits fondamentaux à la vie privée et à la protection des données personnelles.
La transparence est un autre aspect crucial de la protection des données et permet aux personnes concernées de contrôler le traitement de leurs données personnelles. Le respect des dispositions en matière de transparence par les responsables du traitement garantit que les personnes concernées sont pleinement informées à l’avance de la portée et des conséquences du traitement de leurs données personnelles et qu’elles sont en mesure d’exercer leurs droits.
La décision finale de la DPC a exercé les pouvoirs correctifs suivants :
- un avertissement conformément à l’article 58(2)(b) du RGPD ;
- trois amendes administratives d’un montant total de 310 millions d’euros conformément aux articles 58(2)(i) et 83 du RGPD ; et
- une ordonnance à LinkedIn pour mettre son traitement en conformité avec le RGPD conformément à l’article 58(2)(d).