Mauvaise nouvelle pour LinkedIn en Europe où le réseau social appartenant à Microsoft a été réprimandé et condamné à une amende de 310 millions d’euros pour des violations de la vie privée liées à son activité de tracking publicitaire.
Les sanctions administratives, d’une valeur d’environ 356 millions de dollars au taux de change actuel, ont été émises par la Commission irlandaise de protection des données (DPC) en vertu du Règlement général sur la protection des données (RGPD) de l’Union européenne. Le régulateur a constaté une série de violations, notamment des atteintes à la légalité, à l’équité et à la transparence de son traitement des données dans ce domaine.
Le RGPD exige que l’utilisation des informations des personnes repose sur une base juridique appropriée. Dans ce cas, les justifications sur lesquelles LinkedIn s’est appuyé pour gérer son activité de publicités de suivi ont été jugées non valables. L’entreprise n’a pas non plus correctement informé les utilisateurs de l’utilisation de leurs informations, conformément à la décision de la DPC.
LinkedIn a tenté d’invoquer (diverses bases juridiques) fondées sur le « consentement », les « intérêts légitimes » et la « nécessité contractuelle » pour traiter les informations des personnes – lorsqu’elles sont obtenues directement et/ou auprès de tiers – afin de suivre et de profiler ses utilisateurs à des fins de publicité comportementale. Cependant, la DPC a estimé qu’aucune de ces bases juridiques n’était valable. LinkedIn n’a pas non plus respecté les principes de transparence et d’équité du RGPD.
Dans un communiqué, le commissaire adjoint du DPC, Graham Doyle, a déclaré : « La licéité du traitement est un aspect fondamental de la loi sur la protection des données et le traitement des données personnelles sans base juridique appropriée constitue une violation claire et grave du droit fondamental des personnes concernées à la protection des données. »
L’ampleur de la sanction propulse le réseau social professionnel au milieu du tableau des dix plus grosses sanctions du RGPD contre les grandes entreprises technologiques . Et même si ce n’est pas la première fois que LinkedIn est sanctionné pour des violations régionales de la protection des données, il s’agit certainement de sa sanction la plus importante à ce jour. (Bien que l’entreprise ait tenu à souligner que le montant de l’amende était inférieur au montant que Microsoft avait prévu dans une précédente déclaration 10-K alertant les investisseurs qu’elle s’attendait à une sanction.)
L’affaire contre LinkedIn a débuté en France en 2018 à la suite d’une plainte déposée par l’association de défense des droits numériques La Quadrature Du Net. L’autorité de protection des données du pays a ensuite transmis la plainte à la DPC, en raison de son rôle d’organisme principal de surveillance de la conformité de Microsoft au RGPD.
En août 2018, la DPC a ouvert une enquête sur plainte avant de finalement soumettre son projet de décision aux autres autorités de protection des données intéressées près de six ans plus tard (en juillet 2024). Aucune objection n’ayant été soulevée, la décision a été finalisée et la mise en œuvre a maintenant été rendue publique.
En plus d’être sanctionné par une amende, LinkedIn dispose de trois mois pour mettre ses opérations européennes en conformité avec le RGPD.
Le porte-parole de LinkedIn, Jonny Wing, a indiqué à TechCrunch un communiqué publié dans la salle de presse de l’entreprise concernant la sanction dans lequel il est écrit : « Aujourd’hui, la Commission irlandaise de protection des données (IDPC) a pris une décision finale sur les plaintes de 2018 concernant certains de nos efforts de publicité numérique dans l’UE. Bien que nous estimions avoir respecté le règlement général sur la protection des données (RGPD), nous travaillons pour garantir que nos pratiques publicitaires respectent cette décision avant la date limite de l’IDPC. »
