S'inscrire

Cybersécurité - 25/10/2024

L’organisme de surveillance irlandais inflige une amende record de 310 millions d’euros à LinkedIn pour violation du RGPD

Hacker utilisant un outil de cybersécurité

L’autorité irlandaise de protection des données a infligé jeudi une amende de 310 millions d’euros (335 millions de dollars) à LinkedIn pour avoir violé la vie privée de ses utilisateurs en effectuant des analyses comportementales de données personnelles à des fins de publicité ciblée.

« L’enquête a porté sur le traitement par LinkedIn des données personnelles à des fins d’analyse comportementale et de publicité ciblée des utilisateurs ayant créé des profils LinkedIn (membres) », a indiqué la Commission de protection des données (DPC) . « La décision […] porte sur la licéité, la loyauté et la transparence de ce traitement. »

Cette sanction a été prononcée en vertu du Règlement général sur la protection des données ( RGPD ) de l’Union européenne (UE), une loi sur la protection des données personnelles qui établit un cadre pour la collecte, le traitement, le stockage et le transfert des données personnelles dans l’UE et l’Espace économique européen (EEE). Elle est entrée en vigueur le 25 mai 2018.

L’enquête, ouverte à la suite d’une plainte déposée auprès de l’Autorité française de protection des données en 2018, a révélé que LinkedIn avait enfreint trois principes différents du RGPD concernant la transparence et l’équité : l’article 6 du RGPD et l’article 5(1)(a), les articles 13(1)(c) et 14(1)(c), et l’article 5(1)(a).

LinkedIn a notamment omis de demander le consentement explicite des utilisateurs ou de les informer suffisamment avant de traiter les données de tiers de ses membres et d’utiliser des intérêts légitimes comme base juridique pour le traitement des données de première partie à des fins de publicité ciblée. En plus de l’amende, LinkedIn dispose de trois mois pour mettre ses opérations européennes en conformité avec le RGPD.

La DPC a déclaré que le consentement obtenu de manière conforme au RGPD doit être donné librement, de manière spécifique, éclairée et constituer une indication sans ambiguïté des souhaits de la personne concernée. Elle a également déclaré que le traitement doit être effectué de manière équitable et transparente.

« La licéité du traitement est un aspect fondamental de la loi sur la protection des données et le traitement des données personnelles sans base juridique appropriée constitue une violation claire et grave du droit fondamental d’une personne concernée à la protection des données », a déclaré le commissaire adjoint du DPC, Graham Doyle, dans un communiqué.

Commentant cette évolution, la plateforme de réseautage professionnel appartenant à Microsoft a déclaré : « Bien que nous estimions avoir respecté le Règlement général sur la protection des données (RGPD), nous travaillons pour garantir que nos pratiques publicitaires respectent cette décision avant la date limite de l’IDPC. »

Dans l’actualité connexe, l’association autrichienne de protection de la vie privée noyb (abréviation de None Of Your Business) a déposé une plainte auprès de l’autorité française de protection des données contre la société de médias sociaux Pinterest pour avoir eu recours à des « intérêts légitimes » pour suivre l’activité des utilisateurs par défaut afin de diffuser des publicités ciblées sans leur consentement.

« Au lieu de demander le consentement explicite en vertu de l’article 6(1)(a) du RGPD, l’entreprise prétend à tort avoir un « intérêt légitime » à traiter les données personnelles des personnes en vertu de l’article 6(1)(f) du RGPD », a déclaré noyb . « Le suivi est activé par défaut et nécessiterait une objection (opt-out) de la part de chaque utilisateur pour s’arrêter. »

Un porte-parole de Pinterest a déclaré à TechCrunch que son « approche de la publicité personnalisée est conforme au RGPD ».200

Sujets récents