Comment les entreprises étrangères peuvent échapper aux sanctions du RGPD : Le cas de Lusha

Comment les entreprises étrangères peuvent échapper aux sanctions du RGPD : Le cas de Lusha

Le

La Commission nationale de l’informatique et des libertés (CNIL) a récemment mis en évidence une possible faille du règlement général sur la protection des données (RGPD) lors d’une procédure de sanction visant la start-up israélo-américaine Lusha. Cette jeune entreprise est connue pour commercialiser une extension pour navigateur web permettant aux utilisateurs de révéler les coordonnées professionnelles de personnes ayant un profil sur LinkedIn ou sur Salesforce. Selon Lusha, cette extension a pour objectif de lutter contre la fraude en ligne. Cependant, pour la CNIL, elle ne fournissait pas suffisamment d’informations sur la manière dont les données étaient récupérées et traitées.

La CNIL a reçu une quinzaine de plaintes entre 2018 et 2021 et a donc demandé à la formation restreinte d’enquêter sur le cas de Lusha. À chaque fois que la formation restreinte était amenée à analyser les agissements d’une entreprise en vertu du RGPD, elle avait sanctionné la société concernée d’une amende minimale. Cependant, cette fois-ci, la CNIL a prononcé un non-lieu à l’égard de Lusha.

Dans sa délibération publiée à la fin de l’année 2022, la formation restreinte a affirmé que la société avait récupéré sans leur consentement, les numéros de téléphone et adresses mail professionnels de 1,5 million de Français. Cependant, malgré ce manquement, la CNIL s’est rendue compte qu’il était tout à fait possible pour une société sans aucune attache en Europe, de mettre en place ce processus de récupération de données personnelles. En effet, le RGPD ne sanctionne que les sociétés établies au sein de l’Union européenne. Si une société est étrangère et qu’elle possède des locaux dans un des pays membres, elle devra se plier au RGPD. C’est le cas de WhatsApp et Amazon qui sont des entreprises américaines présentes en Europe et qui ont été sanctionnées pour leur non-respect du cadre législatif européen. Si la société n’est pas implantée en Europe, le règlement ne s’applique pas.

Puisque l’extension de Lusha n’est pas liée à une offre de biens ou de services aux personnes concernées, le critère relatif à ces offres n’est pas applicable. Enfin, il a été prouvé par la CNIL que les données récupérées par Lusha ne lui permettaient pas de faire un profilage des personnes ciblées. Le critère relatif au profilage n’est donc pas non plus applicable.

Cette décision de la CNIL soulève des questions sur l’efficacité de la réglementation en matière de protection des données personnelles pour les entreprises étrangères qui peuvent ainsi échapper aux sanctions du RGPD. Il est également important de noter que cette décision ne signifie pas que les entreprises étrangères peuvent se permettre de violer la vie privée des utilisateurs. Il est urgent pour les entreprises de se conformer aux réglementations en vigueur dans les pays où elles opèrent, pour protéger les données personnelles des utilisateurs. Enfin, cette décision souligne l’importance de l’harmonisation des réglementations en matière de protection des données personnelles à l’échelle mondiale, pour garantir une protection efficace des données personnelles des utilisateurs, quelle que soit la localisation de l’entreprise. Il est donc nécessaire pour les gouvernements et les autorités réglementaires de continuer à travailler ensemble pour élaborer des réglementations efficaces et adaptées aux défis actuels en matière de protection des données personnelles.

DPO Partagé
DPO Partagé
DPO EXTERNALISE - Disponible du Lundi au Samedi - Contactez nous au 01 83 64 42 98 ou par mail à contact@dpo-partage.fr DPO PARTAGE est le leader des DPO en données de santé et données sensibles. Urgence Violation Données +33 7 56 94 70 90

Intéressant ? Partagez-le !

Newsletter

Audit gratuit Conformité RGPD

spot_imgspot_img

A ne pas manquer !

Encore plus d'actualités
Informations RGPD

Prenez garde à ce piratage Gmail qui peut même contourner la double authentification

Aucun système informatique n'est inviolable, même ceux réputés parmi...

Les outils logiciels au cœur de la conformité RGPD : un atout indispensable pour les DPO

Logiciels conformité RGPD : La mise en conformité avec...

Sanction record pour hubside.store en matière de prospection commerciale

Le 4 avril 2024, la Commission Nationale de l'Informatique...