- Le blog et les actualités de Witik
- Comment Lusha a contourné le RGPD ?
Comment Lusha a contourné le RGPD ?
C’est quoi exactement Lusha ?
Pour essayer de comprendre comment Lusha a évité une sanction malgré les nombreuses plaintes auprès de la CNIL à l’égard de l’activité de cette société, revenons sur ce que fait concrètement Lusha.
Tout d’abord Lusha est une startup Israélienne disposant de bureaux à Boston. Elle ne dispose d’aucun établissement dans un pays membre de l’Union européenne et n’est donc pas assujettie au RGPD sur la base de l’article 3.1, à savoir le critère territorial.
Lusha est une extension de navigateur, permettant à ses clients d’obtenir les coordonnées professionnelles (adresse mail et numéro de téléphone) des personnes dont ils consultent le profil sur Linkedin.
Et les chiffres ont de quoi impressionner, avec la promesse d’une base de données de plus de 100 millions de fiches de contacts professionnelles.
Dans sa politique de confidentialité, Lusha explique que les données de cette base viennent de diverses sources, dont son « community program » sur lequel l’éditeur ne s’étend pas d’avantage. C’est précisément sur la collecte de données de ce « community program » que la CNIL s’est penchée.
Comment Lusha collecte vos données ?
C’est un point qui a son importance dans cette affaire, Lusha ne collecte pas directement les données des utilisateurs.
En effet, Lusha opère la collecte de données dans trois applications pour smartphone Android qu’elle édite par l’intermédiaire de filiales : Mailbook, Simpler et Cleaner Pro.
N.B. : Ces applications ne sont plus disponibles depuis août 2022 en France.
Dès l’installation de l’une de ces applications, un pop-up apparaissait pour informer les utilisateurs qu’ils s’apprêtaient à partager l’intégralité de leur carnet d’adresses avec « la communauté ».
Au lancement de l’application, toutes les données des contacts des utilisateurs de ces applications sont triées, afin de ne conserver que les coordonnées professionnelles, puis intégrées dans la base de données Lusha.
Que font-ils des données ?
Deuxième point extrêmement important dans cette affaire, Lusha ne propose pas de biens ou services aux personnes concernées par cette immense base données.
Au lieu de ça, la société commercialise le contenu de cette base de données à ses clients, qui, eux, vont leur proposer leurs biens ou services.
En cela Lusha s’affranchit du point 3.2.a du RGPD à savoir le critère de l’offre de bien ou de services destinés aux personnes concernées par le traitement. Car en effet, on entend souvent par abus de langage que le RGPD concerne les sociétés hors UE qui traitent des données d’européens mais c’est inexact, il faut comme critère cumulatif que la société propose des biens ou services à ces mêmes personnes.
Si comme nous vous êtes tatillons vous vous demandez sûrement : Comment Lusha a pu convaincre la CNIL sur le fait qu’ils disposent d’une base de données de 100 millions de prospects sans s’en servir à aucun moment pour leur propre prospection ?
Sur ce point précis, la décision de la CNIL n’offre aucune information. On peut toutefois imaginer que cela a un lien avec le fait que la CNIL a appuyé l’argument de Lusha selon lequel la société réalisait ce traitement dans le but de lutter contre la fraude.
Comment ont-ils contourné le RGPD ?
Vous avez tout bien suivi ? Si vous avez bien lu, nous avons vu ensemble que Lusha ne remplissait pas les critères 3.1 (territorialité) et 3.2.a (offre de biens ou de services aux personnes concernées).
Il ne reste donc finalement que le critère 3.2.b dans le champ d’application du RGPD, le critère relatif au suivi du comportement des personnes, c’est d’ailleurs le critère que soulevait le rapporteur.
Cependant la CNIL n ’a pas non plus retenu ce critère, se fondant sur les lignes directrices du CEPD sur le sujet considérant qu’il y a « suivi du comportement » uniquement lorsque le traitement des données consiste en un profilage des personnes.
- Le profilage peut se définir comme le fait de créer un profil unique pour chaque personne en fonction de divers éléments collectés à son encontre tels que son comportement ou ses habitudes de vie, et d’analyser ces éléments pour prédire les réactions, le comportement ou les préférences de la personne.
Or dans ce cas précis, la CNIL a considéré que Lusha ne faisait que rapprocher des données de contact professionnel avec l’identité des personnes dont le profil est visité.
Vous l’avez donc compris, aucun des critères prévus dans le champ d’application du RGPD n’étant rempli, le règlement n’est pas applicable à ce traitement de données.
Est-ce que la CNIL vient de créer un précédent ?
Au risque de vous décevoir : Oui et non !
Tout d’abord il faut bien comprendre que Lusha n’échappe pas totalement au RGPD, on ne parle ici que du traitement précis des données dans le cadre de l’application Lusha.
Ensuite, vous l’avez compris dans l’article, différents critères cumulatifs contraignants limitent le champ des possibles pour pouvoir rentrer dans ce cas de figure :
Il ne faut avoir aucun établissement dans l’UE
Il faut réaliser une collecte indirecte
Il ne faut proposer aucun bien ou services aux personnes concernées par la collecte
La collecte doit être limitée dans le sens où elle ne doit pas permettre de réaliser un profilage des personne concernées
Ce que l’on peut en revanche regretter dans ce cas précis, c’est le fait que le nombre de personnes concernées soit particulièrement important n’a pas eu d’incidence sur l’application du RGPD, alors que s’il y avait eu bien moins de personnes concernées mais sur lesquelles un grand volume de données était traité, la décision aurait pu être toute autre.
Le résumé de l’affaire Lusha vs le RGPD
En résumé, toute société non implantée dans l’UE pourrait collecter des données personnelles d’européens et les mettre à disposition (dans une plateforme par exemple) sans être concerné par le RGPD, à partir du moment où :
Elle ne propose pas elle-même des biens ou services à ces même personnes 3.2.a
Les données collectées ne permettent pas le suivi du comportement 3.2.b
Lusha a pu remplir chacun de ces critères dans la mesure où la société réalise une collecte indirecte (par le biais d’application mobile où les utilisateurs partagent leurs contacts) et ne propose pas elle-même de bien ou services à ces personnes.
De plus, le fait que Lusha se contente de fournir des informations professionnelles de type « contact » exclut le critère de suivi de comportement.
Dès lors, le traitement n’est pas concerné par le RGPD.