La Cnil irlandaise a adressé à LinkedIn un blâme et une injonction à se mettre en conformité. Le tout assorti d’amendes administratives d'un montant total de 310 millions d'euros. Une décision encourageante selon l’association française plaignante et qui contraste avec l’immobilisme parfois décrié de l’autorité.
LinkedIn condamné à 310 millions d’euros d’amende pour des publicités ciblées contraires au RGPD
Après une enquête longue de six ans, LinkedIn devra verser s’acquitter de trois amendes d’un montant de 310 millions euros à l’Autorité de protection des données personnelles irlandaises (DPC). Les investigations avaient été lancées le 20 août 2018 à la suite d'une plainte déposée par l'association française La Quadrature Du Net auprès de la Cnil, qui l’avait transmise à son homologue irlandais, “autorité de contrôle principale” de LinkedIn et de nombreuses autres têtes d’affiche du secteur numérique (Apple, Meta, Alphabet…)
La Quadrature du Net avait réussi à réunir 12 000 plaintes à l’encontre des Gafam dénonçant leur modèle économique construit en partie “autour de l’exploitation sans consentement des données, particulièrement Google et Facebook”. Dans le cas de LinkedIn, les plaignants reprochaient au réseau social professionnel d’exploiter les données personnelles des utilisateurs pour faire de la publicité ciblée sans avoir obtenu un consentement libre et éclairé, dans les règles de l’art prévu par le RGPD, notamment son article 6 (1). C’est une “amende de bon augure” pour la Quadrature du Net qui y voit sa bonne interprétation du RGPD selon laquelle les services en ligne doivent garantir l’accès au site sans contraindre leurs utilisateurs à céder leurs données personnelles. A contrario, il faut que le consentement soit donné librement. LinkedIn a déclaré avoir respecté le RGPD et travaillé pour “garantir que [ses] pratiques publicitaires respectent” la décision du DPC.
Sabotage
Concernant la durée de l’affaire, La Quadrature du Net va expliquer sa cause non pas par la complexité de l’affaire, mais par certains “dysfonctionnements structurels et l’absence de volonté politique caractéristique” du régulateur irlandais. En Allemagne, un jury fictif composé de membres de diverses mouvances (l'ONG Digitalcourage, le Chaos Computer Club, la Ligue internationale des droits de l'homme, l'Association allemande pour la protection des données, etc.) lui a attribué un “Big Brother Awards (BBA)” qui récompense ironiquement l’impact négatif de l’activité d’institutions sur la protection de la vie privée. Le jury pointait du doigt l’autorité irlandaise pour le “sabotage continu des efforts visant à faire respecter la législation européenne sur la protection des données”. Dans le même sens, l’ONG de défense des libertés publiques L’Irish Council for Civil Liberties avait publié en 2023 un rapport sur les manquements et l’inefficacité de la DPC irlandaise. À titre d’exemple, l’ONG indiquait que sur 54 dossiers instruits depuis 2018, 46 s’étaient soldés par des accords amiables, malgré les larges pouvoirs de la DPC habilitée à adresser des amendes à hauteur de 4 % du chiffre d’affaires mondial. Selon le rapport, c’est la seule autorité à recourir autant à la négociation.
Déjà, la Commission européenne avait annoncé, le 14 mars dernier, dans un communiqué, avoir demandé à LinkedIn de fournir des informations supplémentaires sur l’utilisation des données personnelles de ses utilisateurs européens, après une plainte déposée en février 2023 par les ONG European Digital Rights (EDRi), Global Witness, Gesellschaft für Freiheitsrechte et Bits of Freedom, lesquelles réclamaient une “application efficace du DSA”. Dans cette affaire, ce sont des publicités basées sur un ciblage utilisant des catégories particulières de données personnelles, telles que l’orientation sexuelle, les opinions politiques ou l’origine ethnique, qui sont en cause.
Anne-Laure Blouin