Le 20 décembre 2022, la formation restreinte de la CNIL a prononcé un non-lieu à l’égard de la société américaine Lusha. Elle a considéré que le RGPD ne s’appliquait pas à Lusha.

Plus d’un mois après son prononcé, la presse continue de s’émouvoir de cette décision : « Revers inédit pour la CNIL sur son interprétation du RGPD » selon Les Echos, « [Affaiblissement de] la protection des données personnelles en Europe » du côté du Journal du Net.

La CNIL s’est-elle fourvoyée ? Ou le RGPD a-t-il un trou dans la raquette ?

Les faits

Lusha commercialise une extension s’installant sur le navigateur web Chrome.

Cette extension permet notamment aux clients de Lusha d’obtenir les numéros de téléphone et emails des utilisateurs LinkedIn ou Salesforce dont le profil est visité.

Ces numéros de téléphone et emails ont pu être obtenus par Lusha via des applications mobiles de « gestion de contacts » éditées par ses filiales, qui aspiraient le carnet d’adresses de leurs contacts.

Comme le résume la formation restreinte de la CNIL la présence de ces contacts « dans la base de données Lusha [s’explique] uniquement par le fait que leurs coordonnées figuraient dans le carnet d’adresses d’un ou de plusieurs de leurs contacts (ami, famille, collègue, etc.) ayant téléchargé les applications… ».

Ces données ont permis à Lusha de constituer une base de données de contacts professionnels – dont 1,5 millions de contacts français – qu’elle rend accessible à ses clients.

La société Lusha est américaine et ne dispose pas d’établissement au sein de l’Union européenne.

L’enquête de la CNIL

A la suite de premières plaintes adressées en 2018, la CNIL a procédé à plusieurs contrôles en ligne du site web de Lusha, de son extension Lusha et des applications mobiles par le biais desquels les données personnelles litigieuses étaient collectées.

Ces contrôles ont débouché sur une procédure de sanction.

En défense, Lusha a argué que la CNIL était incompétente pour la contrôler et la sanctionner.

Lusha estime que les critères d’application territoriale du RGPD n’étaient pas remplis.

L’application territoriale du RGPD

Le RGPD s’applique territorialement aux sociétés dans 3 situations.

Situation n°1 : Etablissement au sein de l’Union européenne

L’article 3 § 1 prévoit en premier lieu que le RGPD s’applique aux traitements effectués dans le cadre des activités d’un organisme établi sur le territoire de l’Union européenne.

Ce cas de figure n’était pas applicable puisque la société Lusha est basée aux Etats-Unis.

Situation n°2 : Offrir des biens ou services à des personnes situées au sein de l’Union européenne

L’article 3 § 2 a) prévoit en second lieu que le RGPD s’applique à un organisme non établi au sein de l’Union européenne si celui-ci propose des biens ou des services à des personnes qui sont situées sur le territoire de l’Union européenne. Ainsi, une société brésilienne qui commercialiserait des produits à destination de citoyens français devrait appliquer le RGPD.

Mais ce cas de figure ne concerne pas Lusha car elle n’est pas en relation contractuelle avec les contacts présents dans sa base de données. En effet, elle ne fournit aucun produit ni service à ces contacts, à la différence des services vendus à ses clients.

Situation n°3 : Effectuer un suivi d’un comportement d’individu ayant lieu au sein de l’Union européenne

L’article 3 §2 b) prévoit en troisième lieu que le RGPD s’applique à un organisme non établi au sein de l’Union européenne si celui-ci effectue un suivi du comportement des personnes concernées et que ce comportement a lieu au sein de l’Union européenne.

Le rapporteur de la CNIL – qui instruit le dossier devant la formation restreinte – estimait que ce critère était applicable à la société Lusha.

Au contraire, la société Lusha s’est défendue de suivre le comportement des contacts présents dans sa base de données.

La formation restreinte de la CNIL va donner raison à Lusha.

Pour se faire, elle se réfère au considérant 24 du RGPD qui explicite davantage la notion de « suivi du comportement » :

« Le traitement de données à caractère personnel de personnes concernées qui se trouvent dans l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union devrait également être soumis au présent règlement lorsque ledit traitement est lié au suivi du comportement de ces personnes dans la mesure où il s’agit de leur comportement au sein de l’Union. Afin de déterminer si une activité de traitement peut être considérée comme un suivi du comportement des personnes concernées, il y a lieu d’établir si les personnes physiques sont suivies sur internet, ce qui comprend l’utilisation ultérieure éventuelle de techniques de traitement des données à caractère personnel qui consistent en un profilage d’une personne physique, afin notamment de prendre des décisions la concernant ou d’analyser ou de prédire ses préférences, ses comportements et ses dispositions d’esprit. »

La formation restreinte rappelle alors la définition du « profilage » donnée par l’article 4 alinéa 4 du RGPD. Il s’agit de :

« toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique ».

En outre, la formation restreinte se réfère aux lignes directrices du CEPD – le comité européen qui rassemble la CNIL et ses homologues européens – relatives au champ d’application territorial du RGPD (Lignes directrices 3/2018).

A ce sujet, le CEPD indique notamment que :

« L’utilisation du terme «suivi» implique que le responsable du traitement poursuit un objectif spécifique en vue de la collecte et de la réutilisation ultérieure des données pertinentes relatives au comportement d’une personne au sein de l’Union. Le comité n’estime pas que la collecte ou l’analyse en ligne de données à caractère personnel relatives à des personnes dans l’Union serait automatiquement considérée comme un «suivi». Il sera nécessaire de tenir compte de la finalité du traitement des données par le responsable du traitement et, en particulier, de toute analyse comportementale ou technique de profilage ultérieure impliquant ces données ».

Ces différents éléments permettent alors à la formation restreinte de conclure à l’inapplicabilité du RGPD au traitement réalisé par la société Lusha.

Selon elle, « la constitution de la base de données par la société repose uniquement sur le rapprochement entre des données de contacts professionnels (téléphone, adresse électronique) avec l’identité des personnes dont le profil est visité sur LinkedIn afin d’en vérifier la véracité. Il ne s’agit donc pas, en l’espèce, d’un traitement qui consiste à analyser ou prédire un comportement (…) ».

Qu’en penser ?

La décision de la formation restreinte de la CNIL ne parait pas surprenante : elle a fait une stricte application du RGPD.

Certains pourront regretter que la CNIL n’ait pas cherché à interpréter de façon large (ou audacieuse) l’article 5 § 2 b) du RGPD. Mais, dans la présente affaire, il était difficile de considérer qu’il y avait un « suivi du comportement ».

En revanche, on peut regretter qu’un tel traitement de données à caractère personnel puisse échapper au RGPD.

Lors de son adoption en 2016, l’innovation du RGPD avait notamment été d’instaurer des critères de ciblage des personnes (les situations n°2 et n°3) étendant ainsi son applicabilité de façon importante.

L’affaire Lusha démontre que tout les scénarios possibles n’ont pas – encore – été pris en compte par le législateur européen, au détriment des droits et libertés des personnes concernées.

Peut-être que ce cas d’école permettra d’inciter l’Europe à élargir encore davantage le champ d’application territorial du RGPD, à l’occasion du prochain processus de révision du règlement ?

En attendant, le rédacteur de ces lignes s’amuse d’avoir reçu, il y a quelques jours, une notification de Lusha l’informant de la collecte indirecte de ses données personnelles et lui proposant de s’y opposer immédiatement via un mécanisme automatique. Lusha revendique en effet d’appliquer volontairement le RGPD ! Et, sur certains aspects, elle semble le faire plus sérieusement que d’autres acteurs européens…

*

Le cabinet SHIFT avocats accompagne et conseille les entreprises en Droit des données personnelles depuis plus de 20 ans. Contactez-nous pour toute question: contact@shift-avocats.com.