Le commissaire à la protection des données est l'autorité nationale indépendante chargée de défendre le droit fondamental européen de l'individu relatif à ses données à caractère personnel. En Irlande, ce rôle est assuré par Helen Dixon.
Entre le 1er janvier et le 24 mai 2018, son équipe a effectué 23 audits / inspections. Le but de tous les audits et inspections était de vérifier le respect de la législation en matière de protection des données et d'aider le responsable du traitement des données à appliquer les meilleures pratiques en la matière. Les priorités et les objectifs de l'audit ont été sélectionnés en fonction de questions telles que la quantité et le type de données à caractère personnel traitées par l'organisation concernée, ainsi que le nombre et la nature des demandes de renseignements, des plaintes et des notifications d'infraction reçues.
C’est dans ce contexte qu’a été effectué l’audit de LinkedIn Ireland Unlimited Company (filiale de LinkedIn, le réseau social du monde du travail qui compte près de 600 millions d'utilisateurs). Pour ce cas d’espèce, la commissaire a amorcé une enquête suite à une plainte qui a été notifiée à son équipe par un utilisateur n'appartenant pas à LinkedIn. La plainte concernait l'obtention par LinkedIn de l'adresse e-mail du plaignant et son utilisation à des fins de publicité ciblée sur la plateforme Facebook.
L’enquête de l’équipe a révélé que LinkedIn Corporation (LinkedIn Corp) aux États-Unis, le processeur de données de LinkedIn Ireland, avait traité des adresses de messagerie hachées d'environ 18 millions de personnes qui ne figuraient pas parmi les membres de LinkedIn et avait ciblé ces personnes sur la plateforme Facebook en l'absence d'instructions du contrôleur de données ( c’est-à-dire LinkedIn Irlande), malgré l’exigence de la loi.
La plainte a finalement été résolue à l'amiable, LinkedIn a mis en œuvre un certain nombre de mesures immédiates pour mettre fin au traitement des données des utilisateurs aux fins qui ont motivé la plainte.
Cependant, à la suite de cette plainte, la commissaire était préoccupée par les problèmes systémiques plus larges identifiés et un audit a été lancé pour vérifier que LinkedIn avait mis en place des mesures de sécurité techniques et organisationnelles appropriées, notamment pour le traitement des données des non-membres ainsi qu’au sujet de la conservation des données. ces données. L’audit a révélé que LinkedIn Corp entreprenait le calcul préalable d’un réseau professionnel suggéré pour les membres non-LinkedIn.
En somme, dans le but de faire en sorte que davantage de personnes s’inscrivent au service, LinkedIn a admis qu’elle utilisait les adresses électroniques des personnes, quelque 18 millions au total, d’une manière qui n’était pas transparente. LinkedIn a depuis cessé cette pratique à la suite de l'enquête.
« Suite aux conclusions de notre audit de LinkedIn Ireland, en tant que responsable du traitement des données des utilisateurs de l'UE, a demandé à LinkedIn Corp de cesser le traitement pré-informatique et de supprimer toutes les données à caractère personnel associées à ce traitement avant le 25 mai 2018 », a rapporté la commissaire. Rappelons que le 25 mai 2018 était la date d’entrée en vigueur du RGPD
Les détails ont été révélés dans un rapport publié vendredi par la commissaire irlandaise à la protection des données et couvrent les activités des six premiers mois de cette année civile. Dans une liste d'enquêtes faisant état de violations de données sur Facebook, WhatsApp et Yahoo, la commissaire a donné au public encore plus de détails sur les procédés de ces entreprises.
LinkedIn a fourni la déclaration suivante concernant toute l'enquête :
« Nous apprécions l’enquête de la commissaire à la protection des données concernant une plainte relative à une campagne de publicité et nous avons pleinement coopéré », a déclaré Denis Kelleher, responsable de la protection de la vie privée, EMEA, pour LinkedIn. « Malheureusement, les processus et procédures en place ne sont pas suivis et nous en sommes désolés. Nous avons pris les mesures appropriées et amélioré notre façon de travailler pour que cela ne se reproduise plus. Au cours de l'audit, nous avons également identifié un autre domaine dans lequel nous pourrions améliorer la confidentialité des données des non-membres. Nous avons donc volontairement modifié nos pratiques ».
Source : rapport en PJ (au format PDF)
Et vous ?
Qu'en pensez-vous ?
Voir aussi :
Microsoft commence enfin à exploiter la plateforme LinkedIn sur ses solutions existantes en l'intégrant, par exemple, dans Office 365
Après LinkedIn, la Russie menace de bannir Facebook, si l'entreprise refuse de stocker les données des utilisateurs russes dans le pays
USA : une étude de LinkedIn indique que les carrières dans la tech sont les plus lucratives, peut-on en dire autant en France et en Europe ?
USA : LinkedIn n'a pas le droit d'empêcher des tiers d'exploiter les données des profils publics de ses utilisateurs, d'après une décision de justice
LinkedIn s'est servi de 18 millions d'adresses mail de non-membres
à des fins de publicités ciblées sur Facebook
LinkedIn s'est servi de 18 millions d'adresses mail de non-membres
à des fins de publicités ciblées sur Facebook
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !