Publications
31/01/2023

Collecte de données par Lusha, la CNIL  estime que le RGPD n’est pas applicable

Lusha est une société américaine qui développe une extension pour navigateur web révélant à ses clients les coordonnées professionnelles de personnes dont ils visitent le profil sur LinkedIn ou Salesforce.  Par une délibération du 20 décembre 2022, la formation restreinte de la CNIL  déclare que le RGPD n’est pas applicable à Lusha.


Lusha est une société américaine ne disposant pas d’établissement sur le territoire de l’Union européenne. Suite à une plainte déposée en janvier 2018, la CNIL  a effectué un contrôle sur le site web de la société et trois contrôles en ligne sur les applications de gestion de contact « Simpler », « Mailbook » et « Cleaner pro » (les trois applications) développées par des filiales de Lusha.

Sur le traitement de données à caractère personnel effectué par Lusha. Concrètement, pour constituer sa base de coordonnées professionnelles, les trois applications de gestion de contact aspiraient les carnets d’adresse numériques de leurs utilisateurs et les transféraient à Lusha.

Ainsi, les personnes dont les données sont consultées par les utilisateurs de l’extension Lusha ne sont ni utilisatrices de cette extension, ni utilisatrices des trois applications.

L’ensemble des opérations de traitements évoquées sont indispensables au fonctionnement de l’extension Lusha et participent, selon la CNIL, à un seul et même traitement de données poursuivant les finalités de lutte contre la fraude en ligne et de mise à disposition de coordonnées de prospects.

Sur l’applicabilité du RGPD à la société Lusha. La CNIL relève que Lusha ne dispose d’aucun établissement dans l’Union européenne, ce qui exclut l’application du RGPD selon ce critère.  

En ce qui concerne le premier critère d’application du RGPD relatif à la destination de l’offre de biens ou de services, la CNIL estime que l’extension Lusha n’est pas liée à une offre de biens ou de services aux « personnes concernées », définies comme les personnes dont les données sont consultées par les utilisateurs de l’extension.

Enfin, et plus intéressant, sur le deuxième critère relatif au suivi du comportement des personnes concernées, la CNIL interprète strictement la notion de suivi des personnes concernées. En effet, selon les lignes directrices du CEPD, il y a lieu d’établir si les personnes physiques sont suivies sur Internet, ce qui comprend l’utilisation ultérieure éventuelle de techniques de traitement des données à caractère personnel qui consistent en un profilage d’une personne physique, afin notamment de prendre des décisions la concernant ou d’analyser ou de prédire ses préférences, ses comportements et ses dispositions d’esprit.

Il est ainsi nécessaire de tenir compte de la finalité du traitement des données par le responsable du traitement et, en particulier, de toute analyse comportementale ou technique de profilage ultérieure impliquant ces données.

En l’espèce, la CNIL relève que si Lusha traite effectivement des données à caractère personnel de personnes situées en France, il n’est pas établi que ces personnes fassent l’objet d’un suivi de comportement par Lusha. En effet, il s’agit seulement d’un rapprochement entre des données de contacts professionnels (téléphone, adresse électronique) avec l’identité des personnes dont le profil est visité sur LinkedIn afin d’en vérifier la véracité. Il ne s’agit donc pas, selon la CNIL, d’un traitement qui consiste à analyser ou prédire un comportement permettant de justifier l’application du RGPD.

Pour en savoir plus : Décision Lusha