A la suite d’une plainte déposée en 2018 par la Quadrature du Net, l’autorité irlandaise de protection des données personnelles sanctionne le réseau social professionnel, à qui il reproche d’avoir traité sans base légale les données personnelles de ses utilisateurs à des fins d’analyse comportementale et de ciblage publicitaire.
Le gendarme irlandais des données épingle LinkedIn et lui inflige une amende à hauteur de 310 millions d’euros. Cette décision fait suite à une plainte déposée en 2018 auprès de la Cnil par La Quadrature du Net, qui prédisait fort justement à l’époque que ses plaintes (5 au total, visant LinkedIn, Amazon, Apple, Google et Facebook) « seront très probablement réceptionnées par l’autorité irlandaise ».
Six ans plus tard, voilà le réseau social professionnel sanctionné par la DPC pour plusieurs violations du RGPD. L’enquête de la Commission portait sur « la légalité, la loyauté et la transparence » des traitements des données personnelles des utilisateurs de LinkedIn à des fins d’analyse comportementale et de publicité ciblée.
Si la décision complète n’a pas encore été rendue publique, elle est assortie d’une injonction pour LinkedIn de mettre son traitement en conformité. Ce qui sous-entend que, depuis 2018, le réseau social racheté par Microsoft n’est toujours pas rentré dans les clous. Les conclusions tiennent en quelques mots : l’entreprise n’avait aucune base légale pour traiter les données personnelles de ses utilisateurs.
Légalité, loyauté, transparence… ou pas
En effet, en contraignant à la création d’un profil l’utilisateur à accepter toutes ses conditions générales, LinkedIn échouait à récolter son consentement libre, éclairé et explicite. En 2018, la Quadrature du Net faisait remarqué que même « la possibilité de s’opposer ultérieurement [à ces traitements] ne saurait en rien corriger le caractère non libre du consentement initialement demandé » puisque les autorisations de traitement dissimulées dans les paramètres de l’application étaient pré-cochées par défaut.
En outre, les traitements en cause ne relevaient ni de l’intérêt légitime de la plateforme, ni de la nécessité contractuelle, estime la DPC, donnant à nouveau raison à l’association française. Le régulateur y ajoute un manquement à l’obligation de transparence et un autre au principe d’équité. L’équité, au sens du RGPD, implique dans le cas présent que les utilisateurs étaient « dans une position où ils peuvent être incapables d’exercer d’autres droits du RGPD ».