Surprenante décision de non-lieu dans l’affaire Lusha, révélant des limites dans la portée du RGPD

Le 20 décembre 2022, la formation restreinte de la CNIL a rendu une décision de non-lieu concernant les traitements de données liés à l’extension pour les navigateurs Chrome et Chromium (« l’extension ») éditée par la société israélo-américaine Lusha. Cette dernière permet d’obtenir les coordonnées professionnelles des personnes en complément de leurs profils individuels au sein de LinkedIn et Salesforce. La presse avait évoqué ce sujet dès 2018, notamment parce qu’on y trouvait les coordonnées de ministres (exemple).

Il est à noter en premier lieu qu’il est très rare que la formation restreinte prononce un non-lieu, signifiant qu’aucun manquement à la réglementation sur la protection des données (RGPD ou Loi Informatique et Libertés modifiée) n’est retenu à l’encontre de la société concernée. Depuis 2017, il ne s’agit que de la troisième décision de ce type.
Pour en savoir plus : https://www.cnil.fr/fr/les-sanctions-prononcees-par-la-cnil.

Cette décision est également remarquable en raison de sa conclusion concernant le champ d’application territorial du RGPD.

Sommaire

1. Les faits et la procédure
2. Les élements de discussion
3. Point d’attention pour nos lecteurs

1) Les faits et la procédure

La société américaine Lusha est une filiale à 100% de la société israélienne YT DEV LTD. Elle détient par ailleurs les trois sociétés éditrices d’applications pour smartphones Android et iOS de gestion de contacts « Simpler », « Mailbook » et « Cleaner Pro » (les « applications »), qui étaient disponibles depuis le territoire français jusqu’en août 2022.

Suite à des plaintes reçues entre 2018 et 2021, plusieurs dispositifs mis en œuvre directement, ou indirectement via ses filiales, par Lusha ont fait l’objet de contrôles par les services de la CNIL. Il s’agit :

  • des applications , qui « aspiraient » les carnets d’adresses des utilisateurs pour les transférer au sein d’une base de données détenue par Lusha et
  • de l’extension, donnant accès, moyennant un abonnement payant, à des données de contact (numéros de téléphone fixe et/ou mobile et adresse électronique) de professionnels, figurant dans la base constituée grâce aux applications.

Des échanges entre la société et la CNIL ont eu lieu entre juillet 2019 et mai 2020 et un rapporteur a été désigné le 29 mars 2021 pour instruire le dossier en vue de le soumettre à la formation restreinte. Le 15 juin 2022, il a adressé à la société son rapport faisant état des manquements qu’il estimait constitués, auquel la société a répondu jusqu’à la clôture de l’instruction le 8 novembre 2022.

2) Les éléments de discussion

Les délibérations de la formation restreinte  portent le plus souvent sur les atteintes aux principes du RGPD, en particulier la licéité, la transparence ou la sécurité des traitements mis en œuvre, ou sur le respect des droits des personnes. Dans la décision Lusha, le débat est tout autre et la société l’a déplacé en amont : le RGPD lui est-il seulement applicable ?

Voici en effet en quels termes l’article 3 du RGPD définit son champ d’application territorial :

1. Le présent règlement s’applique au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union.

2. Le présent règlement s’applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées :

a) à l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes; ou

b) au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union.

(note de l’auteur : le 3e alinéa, non pertinent pour l’affaire, est volontairement omis dans cet extrait)

Si l’on applique ces critères aux faits :

1. Etablissement du responsable de traitement : non, ni Lusha, ni ses sociétés-mères et filiales n’ont le moindre établissement ou sous-traitant sur le territoire de l’UE.

2. Localisation des personnes concernées par le traitement :

a. Offre de services aux personnes concernées : non, les personnes concernées par les données traitées ne sont pas les utilisateurs de l’application. Cela peut paraître surprenant mais les termes sont sans équivoque, il faut distinguer les personnes concernées des utilisateurs du service pour lequel le traitement est mis en œuvre.

b. suivi du comportement des personnes au sein de l’UE : c’est l’étude de ce dernier critère qui rend la décision finale si intéressante.

Dans les lignes directrices 3/2018 relatives au champ d’application du RGPD où il développe la notion de suivi du comportement, le CEPD « n’estime pas que la collecte ou l’analyse en ligne de données à caractère personnel relatives à des personnes dans l’Union serait automatiquement considérée comme un «suivi». Il sera nécessaire de tenir compte de la finalité du traitement des données par le responsable du traitement et, en particulier, de toute analyse comportementale ou technique de profilage ultérieure impliquant ces données. »

La formation restreinte admettant ainsi qu’une base composée de données de contacts professionnels ne constitue pas un traitement relevant du suivi du comportement des personnes concernées et encore moins du profilage, elle ne peut que conclure que le RGPD ne peut pas être appliqué à la société Lusha, reconnaître « qu’il n’entre pas dans les pouvoirs de la formation restreinte de prononcer une sanction » et prononcer un non-lieu.

Pour appuyer cet argument de non-applicabilité du RGPD à ses activités pour les raisons évoquées ci-dessus, la société invoquait également une position de l’autorité luxembourgeoise transmise en juin 2022.

3) Point d’attention pour nos lecteurs

Cette décision n’a pas de conséquence sur la responsabilité des traitements mis en œuvre par les personnes soumises au RGPD qui utiliseraient l’extension ou les services de Lusha : les données traitées à des fins de prospection commerciale ayant été collectées indirectement, il revient toujours aux responsables de tels traitements de régulariser la collecte en informant les personnes et en leur permettant de s’y opposer (cf. article 14 RGPD). La disponibilité de données sur des sources publiquement accessibles (gratuitement ou non) ne rend pas celles-ci librement exploitables (cf. notre article de juillet 2022).

Les autres articles de William Baffard, Juriste Consultant Protection des Données Digitemis

Cyberscore : décryptage de la loi du 3 mars 2022 et de ses possibles modalités d’application

Afin de compléter l’interview du député Latombe publiée le 17 mars 2022, Digitemis vous propose une lecture juridique des dispositions de la loi pour la mise en place d’une certification de cybersécurité des plateformes numériques destinée au grand public, loi qui instaure le cyberscore. La portée de cette loi s’étend au-delà de la stricte protection des données personnelles en intégrant des aspects de cybersécurité. 

Lire l’article

Traitement de données publiquement accessibles sur internet : mise en demeure de Clearview AI par la CNIL

La CNIL met en demeure la société Clearview AI de cesser d’ici deux mois la collecte et l’usage de photo et vidéos publiques aspirées sur Internet pour alimenter son logiciel de reconnaissance faciale.

Lire l’article
miniature article ai clearview

Je partage

William BAFFARD

Titulaire d'un DEA "Informatique et Droit", j'ai exercé près de 15 ans en tant que juriste d'entreprise dans différents domaines du droit des affaires. J'ai rejoint Digitemis en 2018 pour me consacrer pleinement au droit de la protection des données personnelles, au profit de clients externes dont les secteurs d'activité et les enjeux sont variés.

Derniers articles

Analyse des Métriques XSS : comprendre l’Impact des injections de code côté client

Lors des tests d’intrusion, l’injection de code côté client est généralement plus aisée à découvrir qu’une injection côté serveur. Le nombre de paramètres dynamiques transitant du back au front, la difficulté d’échapper correctement à l’entrée et à la sortie et la multitude d’encodage liés à l’affichage peuvent être des vrais casse-têtes pour qui souhaite faire la chasse à la XSS. Le JavaScript malveillant semble ainsi avoir de beaux jours devant lui. Cependant, il n’est pas rare qu’à l’issu de l’audit, la criticité d’une telle injection découle directement de la configuration des cookies présents sur l’application. En effet, l’absence de l’attribut HttpOnly majore irrémédiablement les risques liés à ce type d’attaque. Néanmoins, cela signifie-t-il que la présence de cet attribut doive absolument amenuiser la criticité d’une injection ?

Lire l'article

Angular, N’Tier et HttpOnly

Avec l’apparition au cours de la décennie 2010 des environnements de travail Javascript de plus en plus puissants, l’architecture N’Tiers, si elle était déjà une norme dans le contexte d’application d’entreprises au cours des années 2000, a pu voir son modèle s’étendre à de nombreuses solutions Web. Ce modèle repose sur l’utilisation de technologies exécutées par le navigateur. Or, il arrive parfois que cette couche doive gérer une partie de l’authentification de l’utilisateur, pourtant une recommandation courante sur l’authentification est qu’elle ne doit jamais être côté client. Aussi, les cookies devraient toujours posséder l’attribut HttpOnly, empêchant leur lecture par une couche Javascript et ce afin d’empêcher tout vol de session lors d’une attaque de type XSS. Pourtant, cet attribut empêche littéralement l’application front-end de travailler avec ces éléments. Comment gérer au mieux ces questions sur ce type de déploiement ?

Lire l'article