LinkedIn condamné à une amende de 310 millions d’euros pour ses pratiques de publicité ciblée en Europe

Les autorités irlandaises ont infligé une amende de 310 millions d’euros à LinkedIn pour des violations de la vie privée liées à son activité de ciblage publicitaire, ce qui porte un coup à la plateforme de réseautage professionnel détenue par Microsoft dans ses activités sur le marché européen.

La Commission irlandaise de protection des données (DPC : Data Protection Commission) a annoncé les sanctions – d’un montant total d’environ 310 millions d’euros – jeudi, à la suite d’une enquête relative à la manière dont LinkedIn traite les informations personnelles de ses utilisateurs pour générer des publicités personnalisées. L’enquête a conclu que le site web ne disposait pas d’une « base juridique appropriée » pour ce faire.

Selon la DPC, LinkedIn a demandé le consentement des utilisateurs pour partager leurs données personnelles avec des tiers à des fins de publicité ciblée. Cependant, l’autorité de régulation a estimé que le consentement n’était pas « librement donné, suffisamment informé, spécifique ou sans ambiguïté », ce qui ne répond pas aux normes établies par le règlement général sur la protection des données (GDPR : General Data Protection Regulation) de l’Union européenne.

L’affaire fait suite à une plainte déposée en France en 2018 par La Quadrature du Net, un organisme de surveillance des droits numériques, qui visait LinkedIn et d’autres géants américains de la technologie – Google, Apple, Facebook et Amazon – les accusant d’exploiter les données personnelles des utilisateurs sans le consentement adéquat.

La DPC française a ensuite transmis la plainte à son homologue irlandaise, car LinkedIn, comme beaucoup d’autres entreprises technologiques de premier plan, a son siège européen en Irlande. Il a fallu six ans aux régulateurs irlandais pour parvenir à une décision finale sur les plaintes.

« Le traitement de données à caractère personnel sans base juridique appropriée constitue une violation claire et grave du droit fondamental de la personne concernée à la protection des données », a déclaré Graham Doyle, commissaire adjoint de la DPC irlandaise.

Outre l’amende, LinkedIn s’est vu accorder trois mois pour mettre en conformité ses pratiques en matière de traitement des données.

L’entreprise a déclaré dans un communiqué jeudi qu’elle estimait être en conformité avec le GDPR, mais qu’elle « travaillait pour s’assurer » que ses pratiques respectent la décision dans le délai imparti.

Les 310 millions d’euros sont inférieurs à la charge de 393 millions d’euros que Microsoft a déclaré s’attendre à recevoir de l’organisme de réglementation irlandais l’année dernière. Néanmoins, il s’agit de l’une des plus importantes amendes imposées par une autorité de l’UE aux grandes entreprises technologiques en vertu du GDPR depuis 2018, lorsque le régime réglementaire a été créé pour appliquer certaines des règles de confidentialité et de sécurité numériques les plus strictes au monde, avec de lourdes pénalités en cas d’infraction.

Les récentes amendes reflètent l’attention croissante de l’UE à l’égard des grandes entreprises technologiques américaines. En septembre, la DPC irlandaise a infligé à Meta une amende de 91 millions d’euros (101 millions de dollars) pour des infractions au GDPR, notamment pour avoir stocké les mots de passe des utilisateurs sous forme de « texte clair » lisible par l’homme et pour ne pas avoir signalé rapidement une violation de données survenue en mars 2019.

WhatsApp, la filiale de Meta, a également été condamnée à une amende de 5,5 millions d’euros (6 millions de dollars) par la DPC irlandaise en 2023 pour des violations en matière de transparence, s’ajoutant à l’amende précédente de 225 millions d’euros (266 millions de dollars à l’époque) de l’application de messagerie en 2021 pour des infractions similaires au GDPR.