09/02/23

Une délibération surprenante a été prise par la CNIL le 20 décembre 2022 concernant l’utilisation de données de personnes sur…

Délibération SAN-2022-024 du 20 décembre 2022 concernant la société LUSHA SYSTEMS INC.

La société américaine LUSHA SYSTEMS INC, ci-après « LUSHA », commercialise une extension au navigateur Google chrome appelée « Lusha ». Cette dernière permet à ses utilisateurs d’obtenir les coordonnées professionnelles de personnes dont ils visitent le profil sur les réseaux LinkedIn et Salesforce en utilisant la base de données de LUSHA. Trois applications mobiles – développées par des filiales israéliennes détenues par LUSHA – permettent à l’extension Lusha d’alimenter sa base de données donnant accès aux carnets d’adresses des personnes téléchargeant ces applications sur leur smartphone. Ces applications mobiles ne sont, à cette heure, plus accessibles depuis l’Union Européenne. Ainsi, l’extension Lusha permet la collecte, la conservation, la structuration, le croisement et la diffusion de données à caractère personnel, notamment des données de contacts « brutes » des utilisateurs des applications, ce qui participent à un seul et même traitement de données à caractère personnel poursuivant les finalités de lutte contre la fraude en ligne et de mise à disposition de coordonnées de personnes concernées.

Se pose la question : 

Le rgpd est-il applicable à lusha ?

En premier lieu dans son analyse, la CNIL distingue trois catégories distinctes de personnes :

  • D’abord, les utilisateurs des applications mobiles, soit les personnes dont les carnets d’adresses alimentent la base de données de Lusha ;
  • Ensuite, les personnes concernées, dites également personnes cibles, soit les personnes dont les données de contacts sont présentes dans la base de données de LUSHA ;
  • Enfin, les utilisateurs de l’extension Lusha, c’est-à-dire les clients de la société, utilisant l’extension Lusha.

La CNIL considère que les utilisateurs de l’extension Lusha ne sont donc pas des personnes concernées.

Elle continue en annonçant que l’article 3 du RGPD relatif au champ d’application territorial ne s’applique pas car les critères suivants ne sont pas remplis :

  1. Le RGPD s’applique aux traitement des données personnelles effectués par un organisme établit sur le territoire de l’Union – LUSHA se situant aux Etats-Unis et ses filiales, qui permettent d’agrémenter la base de données, se situant en Israël.
  2. Le RGPD s’applique à un organisme hors du territoire de l’Union offrant des biens ou des services à des personnes concernées situées dans l’Union – LUSHA ne proposant ses services qu’aux utilisateurs de Lusha et non pas aux « personnes concernées » qui, pour la CNIL, sont les personnes dont les données de contacts sont présentes dans la base de données, si on se réfère à la distinction expliquée plus haut.
  3. Le RGPD s’applique à un organisme effectuant du suivi du comportement de personnes concernées, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union – le rapprochement entre des données de contacts professionnels (téléphone, adresse électronique) avec l’identité des personnes dont le profil est visité sur LinkedIn et Salesforce n’est pas un traitement qui consiste à analyser ou prédire un comportement, les préférences personnelles ou les déplacements d’une personne, ses intérêts, sa situation économique ou son état de santé.

Il en résulte pour la CNIL que le RGPD et ses obligations ne sont pas applicables à LUSHA.

Quelles conclusions en tirer ?

La décision de la CNIL semble bien conforme à la lettre du RGPD, mais alors qu’en est-il de l’esprit et de l’approche téléologique du Règlement ?

Les clients de LUSHA, qui vise les relations B2B, seront très certainement soumis au RGPD via ses articles 3.1 ou 3.2 b). L’acte de collecte de données serait tout de même exclu de la protection qu’offre le RGPD, ce qui semble loin de ses objectifs. Il y a donc ici encore matière à faire évoluer le texte du RGPD et son interprétation pour protéger les données des citoyens européens.

Il nous semble par ailleurs regrettable que la CNIL ne s’étende pas sur le critère de l’offre de biens ou de services à des personnes situées sur le territoire de l’Union en expliquant qu’elle considère que le RGPD ne s’applique pas à LUSHA dans le cadre de certaines de ses activités uniquement.

En effet, les lignes du CEPD 3/2018 relative au champ d’application territorial du RGPD indiquent qu’un organisme peut être soumis au RGPD pour certaines de ses activités mais non pour d’autres.

Ceci pourrait expliquer pourquoi la CNIL ne considère pas que les utilisateurs de l’extension Lusha soient des personnes concernées dans ce cas précis (traitement de leurs données dès l’inscription et la création d’un compte et lors de l’utilisation des services).

Pour plus d’information, retrouvez la décision ici : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000046775564?isSuggest=true

Me Renaud LE SQUEREN, Partner – Avocat à la Cour
Sibil MANCO, Juriste.

dotted_texture