Dans le cadre d’une procédure de sanction lancée par la Commission nationale de l’informatique et des libertés (CNIL), la start-up israélo-américaine Lusha n’a pas été condamnée à payer une amende ou à stopper ses activités illicites. Accusée d’avoir pioché des coordonnées dans le carnet d’adresses de ses utilisateurs, le gendarme français de la protection des données personnelles s’est rendu compte que le RGPD ne s’appliquait pas dans son cas.

La CNIL s’est penchée sur le cas de la jeune pousse américaine

La jeune pousse israélo-américaine Lusha est connue pour commercialiser une extension pour navigateur web. Elle permet de révéler aux utilisateurs, les coordonnées professionnelles de personnes ayant un profil sur LinkedIn ou sur Salesforce. L’outil fonctionne en utilisant diverses applications de gestion de contacts à l’instar de Mailbook, Simpler ou Cleaner Pro.

Si pour Lusha, son extension a pour but de lutter contre la fraude en ligne, la CNIL ne possédait pas le même avis. Pour l’autorité régulatrice, la start-up n’apportait pas assez d’informations sur la manière dont les données étaient récupérées puis traitées. Suite à la réception d’une quinzaine de plaintes entre 2018 et 2021, la présidente de la CNIL a demandé à la formation restreinte d’enquêter sur le cas Lusha.

À chaque fois que la formation restreinte était amenée à analyser les agissements d’une entreprise en vertu du RGPD, elle avait sanctionné la société concernée au minimum d’une amende. Cette fois-ci, la CNIL a prononcé un non-lieu à l’égard de Lusha.

Les trois principaux articles du RGPD non applicables pour le cas Lusha

Dans sa délibération publiée à la fin de l’année 2022, la formation restreinte affirme bien que la société a récupéré sans leur consentement, les numéros de téléphone et adresses mail professionnels de 1,5 million de Français. Malgré ce manquement, la CNIL s’est rendu compte qu’il était tout à fait possible pour une société sans aucune attache en Europe, de mettre en place ce processus de récupération de données personnelles.

En effet, le RGPD sanctionne les sociétés établies au sein de l’Union européenne. Plus simplement, si une société est étrangère et qu’elle possède des locaux dans un des pays membres, elle devra se plier au RGPD. C’est le cas de WhatsApp et Amazon qui sont des entreprises américaines présentes en Europe et qui ont été sanctionnées pour leur non-respect du cadre législatif européen. Si la société n’est pas implantée en Europe, le règlement ne s’applique pas. À ce titre, le critère d’établissement ne peut pas être appliqué au cas de Lusha.

Puisque son extension n’est pas liée à une offre de biens ou de services aux personnes concernées, le critère relatif à ces offres n’est pas applicable. Enfin, il a été prouvé par la CNIL que les données récupérées par Lusha ne lui permettaient pas de faire un profilage des personnes ciblées. Le critère relatif au suivi de comportement des personnes concernées est lui aussi, non applicable.