D'Apple à Microsoft en passant par Google on ne compte plus le nombre d'amendes émises en Europe à l'encontre des GAFAM pour abus de position de dominante ou enfreintes diverses et variées au DSA ou au RGPD. C'est d'ailleurs sur la base d'une enfreinte à ce dernier règlement que l'organisme irlandais en charge de la protection des données (Irish Data Protection Commission ou IDPC) vient de condamner Linkedin à une amende de 310 M€. L'enquête a porté sur le traitement par Linkedin de données à caractère personnel à des fins d'analyse comportementale et de publicité ciblée des utilisateurs qui ont créé des profils Linkedin. Et ce afin d'examiner la légalité, la loyauté et la transparence du traitement des données à caractère personnel des utilisateurs de la plateforme de réseautage btob de la filiale de Microsoft. Les données personnelles en question comprenaient celles fournies directement à LinkedIn par ses membres (données first party) et des données obtenues par l'intermédiaire de ses partenaires tiers concernant ses membres (third party data).

« Le RGPD exige que le traitement des données à caractère personnel soit fondé sur l'une des bases juridiques énoncées à l'article 6, paragraphe 1 telles que le consentement, la nécessité contractuelle ou les intérêts légitimes. Selon la base juridique choisie par les responsables du traitement, certaines conditions doivent être remplies. Par exemple, tout consentement obtenu doit répondre à la norme requise par le RGPD, à savoir être une indication libre, spécifique, informée et non ambiguë des souhaits de la personne concernée. Le RGPD exige également que le traitement soit effectué de manière équitable. La loyauté est un principe général qui exige que les données à caractère personnel ne soient pas traitées d'une manière préjudiciable, discriminatoire, inattendue ou trompeuse pour la personne concernée", explique la Cnil irlandaise.

Linkedin paiera

Linkedin n'ayant pas respecté ces règles, l'organisme l'a ainsi condamné à trois amendes administratives d'un montant total de 310 millions d'euros en vertu de l'article 58, paragraphe 2, point i), et de l'article 83 du RGPD ainsi qu'à une injonction de conformité. La décision a été prise par les commissaires à la protection des données, Dr Des Hogan et Dale Sunderland, et a été notifiée à LinkedIn ce 22 octobre. A noter que cette enquête a été lancée par l'IDPC, en tant qu'autorité de contrôle principale pour LinkedIn, à la suite d'une plainte initialement déposée en France en 2018 auprès de la Commission nationale de l'informatique et des libertés par La Quadrature du Net.

« Aujourd'hui, la Commission irlandaise de protection des données (IDPC) a pris une décision finale sur les réclamations de 2018 concernant certains de nos efforts de publicité numérique dans l'UE. Bien que nous soyons convaincus d'avoir respecté le Règlement général sur la protection des données (RGPD), nous nous efforçons de faire en sorte que nos pratiques publicitaires soient conformes à cette décision avant la date limite fixée par l'IDPC », a expliqué Linkedin.