Délibération SAN-2022–024 du 20 décembre 2022

Affaire Lusha

La forma­tion restreinte de la Commission natio­nale de l’informatique et des liber­tés (CNIL) s’est penchée sur diverses ques­tions rela­tives à un service destiné à la pros­pec­tion commer­ciale rendu possible via une exten­sion de navi­ga­teur. Dans les faits, il s’agit de la société Lusha Systems Inc (la société) une entre­prise de droit états-unien, faisant partie d’un groupe de société appar­te­nant à la société mère YT DEV LTD, une entité israé­lienne qui détient ces filiales à 100%.

La société commer­cia­lise un service sous la forme d’une exten­sion pour navi­ga­teurs web sous le nom de « Lusha », dispo­nible sur Chrome et Chromium. L’extension est desti­née à obte­nir les coor­don­nées profes­sion­nelles des personnes dont les utili­sa­teurs visitent le profil sur LinkedIn ou Salesforce (adresses élec­tro­niques et numé­ros de télé­phone). Afin de pouvoir four­nir de telles infor­ma­tions, la société a consti­tué une base de données grâce aux données de contacts stockées par les utili­sa­teurs des appli­ca­tions « Simpler », « Mailbook » et « Cleaner Pro ». Il est fonda­men­tal de noter à ce stade que ces appli­ca­tions ont été déve­lop­pées par des filiales de la société YT DEV LTD.

Suite à divers signa­le­ments, la forma­tion restreinte de la CNIL a effec­tué deux contrôles en ligne concer­nant le site « lusha​.co » et l’extension « Lusha ». La forma­tion restreinte de la CNIL conclut à la non-appli­ca­tion du RGPD pour le service précité. Il ressort de cette affaire plusieurs points devant être mis en exergue.

Responsabilité de traitement

En premier lieu, la déter­mi­na­tion du respon­sable de trai­te­ment est en pratique un élément déci­sif pour les socié­tés, spécia­le­ment dans le contexte d’un groupe d’entreprises. Il leur est forte­ment conseillé de déter­mi­ner, avant tout trai­te­ment de données person­nelles, le rôle de chaque acteur impli­qué dans le trai­te­ment. Dans la situa­tion où plusieurs enti­tés agissent au sein d’un même groupe et pour des fina­li­tés iden­tiques, cette analyse est parti­cu­liè­re­ment essen­tielle pour réduire les risques qui pour­raient se matérialiser.

Dans le cas Lusha, la forma­tion restreinte de la CNIL consi­dère que la respon­sa­bi­lité du trai­te­ment doit être attri­buée à la société mère, à savoir YT DEV LTD. Le raison­ne­ment derrière cette conclu­sion est que les filiales sont à 100% déte­nues par YT DEV LTD et qu’elles n’ont aucun employé à leur charge. Toutes les déci­sions rela­tives aux fina­li­tés et aux moyens d’un trai­te­ment, c’est-à-dire les objec­tifs et la façon de les réali­ser, sont par consé­quent prises par la société mère.

Pour la forma­tion restreinte de la CNIL, une société mère ne peut pas compar­ti­men­ter les diffé­rents trai­te­ments au sein de ses filiales pour échap­per à son rôle et ses obli­ga­tions de respon­sable de trai­te­ment. La forma­tion restreinte de la CNIL, en tant qu’autorité de protec­tion des données, adopte ainsi une approche globale du trai­te­ment et non une vision « micro », qui impli­que­rait une frag­men­ta­tion des diffé­rents traitements.

Application du RGPD

En second lieu, la forma­tion restreinte de la CNIL aborde la ques­tion de l’applicabilité du RGPD, de telle manière à déter­mi­ner si les dispo­si­tions du RGPD, incluant évidem­ment les sanc­tions, sont appli­cables au cas d’espèce. Initialement, s’agissant du champ d’application terri­to­rial de l’art. 3 RGPD, il est admis que la société ne dispose d’aucun établis­se­ment dans l’Union européenne.

À l’égard du champ d’application extra­ter­ri­to­rial, l’art. 3 par. 2 RGPD dispose que le RGPD peut égale­ment s’appliquer au trai­te­ment de données rela­tives à des personnes se trou­vant sur le terri­toire de l’Union euro­péenne par un respon­sable du trai­te­ment qui n’est pas établi dans l’Union euro­péenne, lorsque les acti­vi­tés de trai­te­ment sont liées :

• à l’offre de biens ou de services à ces personnes dans l’Union euro­péenne, qu’un paie­ment soit exigé ou non desdites personnes (let. a) ; ou
• au suivi du compor­te­ment de ces personnes, dans la mesure où il s’agit d’un compor­te­ment qui a lieu au sein de l’Union euro­péenne (let. b).

Le modèle de Lusha implique que les personnes concer­nées, dont les données person­nelles sont stockées dans la base de données Lusha, ne sont pas les personnes qui s’abonnent au service, mais des tiers qui ne sont pas néces­sai­re­ment conscients du trai­te­ment de données effec­tués sur leur compte. L’hypothèse de l’art. 3 par. 2 let. a RGPD ne peut donc pas être appliquée.

Concernant la seconde hypo­thèse, la forma­tion restreinte se réfère aux Lignes direc­trices 3/​2018 rela­tives au champ d’application terri­to­rial du RGPD (article 3) du 12 novembre 2019 afin de défi­nir le « suivi du compor­te­ment ». Conformément à ces Lignes direc­trices, le Comité euro­péen de la protec­tion des données (European Data Protection Board, EDPD) indique que « L’utilisation du terme ‘suivi’ implique que le respon­sable du trai­te­ment pour­suit un objec­tif spéci­fique en vue de la collecte et de la réuti­li­sa­tion ulté­rieure des données perti­nentes rela­tives au compor­te­ment d’une personne au sein de l’Union. Le comité n’estime pas que la collecte ou l’analyse en ligne de données à carac­tère person­nel rela­tives à des personnes dans l’Union serait auto­ma­ti­que­ment consi­dé­rée comme un ‘suivi’ ». En parti­cu­lier, l’EDPB souligne qu’il est « néces­saire de tenir compte de la fina­lité du trai­te­ment des données par le respon­sable du trai­te­ment et, en parti­cu­lier, de toute analyse compor­te­men­tale ou tech­nique de profi­lage ulté­rieure impli­quant ces données. »

Suite à cette analyse, la forma­tion restreinte de la CNIL conclut que malgré un trai­te­ment de données effec­tif, une base de données compo­sée d’informations de contacts profes­sion­nels ne fait pas l’objet d’un suivi de compor­te­ment par la société au sens de l’art. 3 par. 2 let. b RGPD. Au vu de ce qui précède, la forma­tion restreinte de la CNIL se voit dans l’obligation de pronon­cer un non-lieu, au motif de la non-appli­ca­bi­lité du RGPD.

Le choix de la forma­tion restreinte de la CNIL d’analyser en premier lieu la respon­sa­bi­lité du trai­te­ment sans s’assurer en amont de l’application du RGPD est surpre­nant. Ce choix, aussi étrange qu’il puisse paraître, permet cepen­dant de comprendre de manière un peu plus précise la vision de la CNIL sur la respon­sa­bi­lité de trai­te­ment au sein d’un groupe d’entreprise. Cette analyse est parti­cu­liè­re­ment bien­ve­nue dans la mesure où, en pratique, il n’est pas toujours évident de déter­mi­ner le rôle de chaque acteur du traitement.

Mais alors, que doivent rete­nir les utili­sa­teurs de Lusha ?

La déci­sion apporte certaines infor­ma­tions rela­tives à la respon­sa­bi­lité intra­groupe ainsi que sur la défi­ni­tion du « suivi du compor­te­ment » des personnes concer­nées. Néanmoins, qu’en est-il du rôle des utili­sa­teurs du service Lusha ?

Dans le cas d’espèce, les données sont indi­rec­te­ment collec­tées par la société à travers trois appli­ca­tions : « Simpler », « Mailbook » et « Cleaner Pro ». Elles sont ensuite trai­tées à des fins de pros­pec­tion commer­ciale par des tiers, c’est-à-dire les utili­sa­teurs de l’extension. Ces derniers deviennent des respon­sables du trai­te­ment pour la fina­lité de pros­pec­tion commer­ciale. Les données n’aillant pas été collec­tées direc­te­ment auprès des personnes concer­nées, mais mises à dispo­si­tion par le biais de la société Lusha (qui joue le rôle d’intermédiaire), l’art. 14 RGPD pour­rait trou­ver appli­ca­tion (s’agissant de respon­sables de trai­te­ment soumis au RGPD). Les utili­sa­teurs de l’application devront donc appor­ter aux personnes concer­nées les infor­ma­tions impo­sées par le RGPD dans un délai raison­nable dès la collecte ou dès la première prise de contact et notam­ment, offrir aux personnes concer­nées la possi­bi­lité d’exercer leurs droits.

De manière géné­rale, il convient de garder à l’esprit que les données person­nelles libre­ment acces­sibles sur le web peuvent être soumises au champ d’application du RGPD, même pour un trai­te­ment ulté­rieur par un tiers. Il est donc fonda­men­tal pour les entre­prises utili­sant l’extension Lusha (ou d’autres services simi­laires) de former et sensi­bi­li­ser leurs colla­bo­ra­teurs et colla­bo­ra­trices aux obli­ga­tions rela­tives à la pros­pec­tion commer­ciale notam­ment sous l’angle de leur droit natio­nal et du RGPD. Ceci peut notam­ment se traduire par un lien dans les emails de pros­pec­tion commer­cial permet­tant l’opt-out et appor­tant les infor­ma­tions utiles au trai­te­ment de données person­nelles qui est fait par exemple.