L’autorité irlandaise en charge de la protection des données a infligé une sanction de 310 millions d’euros à Linkedin pour avoir enfreint les règles de confidentialité en pratiquant du pistage publicitaire, une pratique contraire au RGPD. Ce jugement est rendu six ans après le dépôt d’une plainte initiale en France par l’organisation La Quadrature du Net.

Les géants du numérique, allant de Apple à Microsoft en passant par Google, ont déjà fait face à de nombreuses amendes en Europe en raison de violations du DSA ou du RGPD et d’abus de leur position dominante. On peut citer comme exemple récent, la sanction infligée à Linkedin par l’Irish Data Protection Commission (IDPC), l’agence irlandaise de protection des données, pour non-respect du RGPD. Cette plateforme de réseautage professionnel, filiale de Microsoft, a été condamnée à verser une amende de 310 millions d’euros. L’IDPC a mené une enquête sur la manière dont Linkedin traitait les données personnelles pour l’analyse comportementale et la publicité ciblée des utilisateurs ayant créé un profil. Le but était d’évaluer si le traitement des données personnelles des utilisateurs respectait la légalité, l’équité et la transparence. Les informations personnelles concernées comprenaient non seulement celles fournies par les membres à Linkedin (données first party), mais aussi celles recueillies auprès de ses partenaires tiers (third party data).

« Le RGPD stipule que le traitement des données personnelles doit être basé sur l’un des fondements juridiques énumérés à l’article 6, paragraphe 1, tels que le consentement, la nécessité contractuelle ou les intérêts légitimes. En fonction du fondement juridique choisi par les responsables du traitement, certaines conditions doivent être respectées. Par exemple, tout consentement donné doit respecter le niveau exigé par le RGPD, c’est-à-dire être une indication libre, spécifique, informée et non ambiguë de la volonté de la personne concernée. Le RGPD demande également que le traitement soit réalisé de manière équitable. L’équité est un principe général qui interdit le traitement des données personnelles de manière préjudiciable, discriminatoire, surprenante ou trompeuse pour la personne concernée », clarifie l’autorité de protection des données irlandaise.

Le paiement de l’amende par Linkedin

Linkedin a été condamné à payer trois amendes administratives, pour un total de 310 millions d’euros, en vertu de l’article 58, paragraphe 2, point i), et de l’article 83 du RGPD, pour non-respect de ces règles. L’entreprise a également reçu une injonction de conformité. Cette décision a été prise par les commissaires à la protection des données, Dr Des Hogan et Dale Sunderland, et a été notifiée à LinkedIn le 22 octobre dernier. Il est important de noter que cette enquête a été initiée par l’IDPC, en tant qu’autorité de contrôle principale pour LinkedIn, suite à une plainte déposée initialement en France en 2018 par La Quadrature du Net auprès de la Commission nationale de l’informatique et des libertés.

« Aujourd’hui, l’IDPC a rendu une décision finale concernant nos plaintes de 2018 liées à certains de nos efforts de publicité numérique dans l’UE. Même si nous sommes convaincus d’avoir respecté le RGPD, nous nous engageons à nous conformer à cette décision avant la date limite fixée par l’IDPC », a déclaré Linkedin.