Collecte de données par Lusha, la CNIL estime que le RGPD n’est pas applicable

Lusha est une société américaine qui développe une extension pour navigateur web révélant à ses clients les coordonnées professionnelles de personnes dont ils visitent le profil sur LinkedIn ou Salesforce. Par une délibération du 20 décembre 2022, la formation restreinte de la CNIL déclare que le RGPD n’est pas applicable à Lusha.

Lusha est une société américaine ne disposant pas d’établissement sur le territoire de l’Union européenne. Suite à une plainte déposée en janvier 2018, la CNIL a effectué un contrôle sur le site web de la société et trois contrôles en ligne sur les applications de gestion de contact « Simpler », « Mailbook » et « Cleaner pro » (les trois applications) développées par des filiales de Lusha.

Sur le traitement de données à caractère personnel effectué par Lusha. Concrètement, pour constituer sa base de coordonnées professionnelles, les trois applications de gestion de contact aspiraient les carnets d’adresse numériques de leurs utilisateurs et les transféraient à Lusha.

Ainsi, les personnes dont les données sont consultées par les utilisateurs de l’extension Lusha ne sont ni utilisatrices de cette extension, ni utilisatrices des trois applications.

L’ensemble des opérations de traitements évoquées sont indispensables au fonctionnement de l’extension Lusha et participent, selon la CNIL, à un seul et même traitement de données poursuivant les finalités de lutte contre la fraude en ligne et de mise à disposition de coordonnées de prospects.

Sur l’applicabilité du RGPD à la société Lusha. La CNIL relève que Lusha ne dispose d’aucun établissement dans l’Union européenne, ce qui exclut l’application du RGPD selon ce critère.

En ce qui concerne le premier critère d’application du RGPD relatif à la destination de l’offre de biens ou de services, la CNIL estime que l’extension Lusha n’est pas liée à une offre de biens ou de services aux « personnes concernées », définies comme les personnes dont les données sont consultées par les utilisateurs de l’extension.

Enfin, et plus intéressant, sur le deuxième critère relatif au suivi du comportement des personnes concernées, la CNIL interprète strictement la notion de suivi des personnes concernées. En effet, selon les lignes directrices du CEPD, il y a lieu d’établir si les personnes physiques sont suivies sur Internet, ce qui comprend l’utilisation ultérieure éventuelle de techniques de traitement des données à caractère personnel qui consistent en un profilage d’une personne physique, afin notamment de prendre des décisions la concernant ou d’analyser ou de prédire ses préférences, ses comportements et ses dispositions d’esprit.

Il est ainsi nécessaire de tenir compte de la finalité du traitement des données par le responsable du traitement et, en particulier, de toute analyse comportementale ou technique de profilage ultérieure impliquant ces données.

En l’espèce, la CNIL relève que si Lusha traite effectivement des données à caractère personnel de personnes situées en France, il n’est pas établi que ces personnes fassent l’objet d’un suivi de comportement par Lusha. En effet, il s’agit seulement d’un rapprochement entre des données de contacts professionnels (téléphone, adresse électronique) avec l’identité des personnes dont le profil est visité sur LinkedIn afin d’en vérifier la véracité. Il ne s’agit donc pas, selon la CNIL, d’un traitement qui consiste à analyser ou prédire un comportement permettant de justifier l’application du RGPD.

Pour en savoir plus : Décision Lusha

Avocat

L'équipe

Cookie	Durée	Description
cookielawinfo-checkbox-advertisement	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Publicité".
cookielawinfo-checkbox-analytics	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Analytics".
cookielawinfo-checkbox-necessary	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Nécessaire".
cookielawinfo-checkbox-others	1 an	Ce cookie est défini par le plugin GDPR Cookie Consent. Le cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie "Autres".
cookielawinfo-checkbox-performance	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie "Performance".
viewed_cookie_policy	1 an	Le cookie est défini par le plugin GDPR Cookie Consent pour stocker si l'utilisateur a consenti ou non à l'utilisation de cookies. Il ne stocke aucune donnée personnelle.
_GRECAPTCHA	5 mois 27 jours	Ce cookie est défini par le service Google recaptcha pour identifier les robots afin de protéger le site Web contre les attaques de spam malveillantes.

Cookie	Durée	Description
CONSENT	16 ans	Ces cookies sont définis via des vidéos youtube intégrées. Ils enregistrent des données statistiques anonymes sur par exemple combien de fois la vidéo est affichée et quels paramètres sont utilisés pour la lecture. Aucune donnée sensible n'est collectée sauf si vous vous connectez à votre compte google, dans ce cas vos choix sont liés à votre compte, par exemple si vous cliquez sur « j'aime » sur une vidéo.
_ga	2 ans	Le cookie _ga, installé par Google Analytics, calcule les données des visiteurs, des sessions et des campagnes et assure également le suivi de l'utilisation du site pour le rapport d'analyse du site. Le cookie stocke des informations de manière anonyme et attribue un numéro généré de manière aléatoire pour reconnaître les visiteurs uniques.
_gid	1 jour	Installé par Google Analytics, le cookie _gid stocke des informations sur la façon dont les visiteurs utilisent un site Web, tout en créant également un rapport d'analyse des performances du site Web. Certaines des données collectées incluent le nombre de visiteurs, leur source et les pages qu'ils visitent de manière anonyme.

Cookie	Durée	Description
IDE	1 an 24 jours	Le cookie est défini par le consentement des cookies GDPR pour enregistrer le consentement de l'utilisateur pour les cookies dans la catégorie « Fonctionnel ».
test_cookie	15 minutes	Le test_cookie est défini par doubleclick.net et est utilisé pour déterminer si le navigateur de l'utilisateur prend en charge les cookies.
VISITOR_INFO1_LIVE	5 mois 27 jours	Cookie défini par YouTube pour mesurer la bande passante qui détermine si l'utilisateur obtient la nouvelle ou l'ancienne interface du lecteur.
YSC	session	Le cookie YSC est défini par Youtube et est utilisé pour suivre les vues des vidéos intégrées sur les pages Youtube.
yt-remote-connected-devices	jamais	YouTube définit ce cookie pour stocker les préférences vidéo de l'utilisateur utilisant la vidéo YouTube intégrée.
yt-remote-device-id	jamais	YouTube définit ce cookie pour stocker les préférences vidéo de l'utilisateur utilisant la vidéo YouTube intégrée.

Cookie	Durée	Description
45342b9b1e	session	Pas de description
cookielawinfo-checkbox-functional	1 an	Le cookie est défini par le consentement des cookies GDPR pour enregistrer le consentement de l'utilisateur pour les cookies dans la catégorie « Fonctionnel ».

Collecte de données par Lusha, la CNIL estime que le RGPD n’est pas applicable

L'ÉQUIPE

Nicolas Moreau

Christophe Fichet

Juliette Goutorbe

GuylaineLombard

LucasDallongeville

BarbaraBertholet

VictoriaLafite

ElodieCourbo

Benjamin Mourot

AdrienMorisse

Nicolas
Moreau

Christophe
Fichet

Juliette
Goutorbe

Guylaine
Lombard

Lucas
Dallongeville

Barbara
Bertholet

Victoria
Lafite

Elodie
Courbo

Benjamin
Mourot

Adrien
Morisse