De nombreuses entreprises partagent l’idée reçue selon laquelle des données publiques peuvent être utilisées sans restriction. Ces données, bien que publiquement accessibles, sont considérées comme des données personnelles à partir du moment où elles se rapportent à des personnes physiques identifiées ou identifiables[1]. Par conséquent, exploiter des données issues de plateformes comme LinkedIn ou d’autres sources dites publiques ne peut pas se faire librement et impose de respecter les droits des utilisateurs et les obligations prévues par le Règlement général sur la protection des données (ci-après « RGPD »)[2].
Le 5 décembre 2024, la CNIL vient rappeler cette règle fondamentale, bien souvent négligée, en infligeant une amende significative de 240 000 euros à la société Kaspr (ci-après « Kaspr »), spécialisée dans la collecte et la commercialisation de coordonnées issues de profils LinkedIn, pour divers manquements au RGPD.
Kaspr propose une extension payante fonctionnant sur le navigateur Chrome (ci-après « l’extension Kaspr »), permettant à ses utilisateurs d’obtenir les coordonnées professionnelles (le numéro de téléphone et l’adresse email) de personnes dont ils visitent le profil sur LinkedIn (ci-après « les personnes cibles »). Pour fournir ce service, Kaspr collecte les données depuis LinkedIn (via l’import des contacts LinkedIn de ses clients lors de l’activation de l’extension Kaspr), des fournisseurs collectant eux-mêmes des données à partir de sources professionnelles publiquement accessibles, et des annuaires des registres de noms de domaines, constituant ainsi sa base de données d’environ 160 millions de contacts au jour du contrôle sur audition. Ces informations sont ensuite utilisées par les utilisateurs de l’extension Kaspr pour contacter les personnes cibles pour des activités telles que la prospection commerciale, le recrutement ou encore la vérification d’identité.
Cette pratique, bien que courante, a donné lieu à plusieurs plaintes de personnes démarchées par des entités ayant obtenu leurs coordonnées via l’extension Kaspr, alors même qu’elles avaient expressément limité la visibilité de leurs informations sur LinkedIn pour protéger leur vie privée. À la suite de ces plaintes, la CNIL a effectué, le 28 juillet 2022, un contrôle sur audition des représentants de Kaspr avant de sanctionner Kaspr, le 9 décembre 2024, pour divers manquements à ses obligations au titre du RGPD. La CNIL a conclu, tout d’abord, que l’exploitation de données allait à l’encontre des attentes légitimes des personnes cibles ayant décidé de limiter la visibilité de leurs informations sur LinkedIn et enfreignait le RGPD. Il est, en effet, reproché à Kaspr d’avoir collecté illicitement des données personnelles sur LinkedIn de personnes ayant décidé de limiter leur visibilité (I). Ensuite, quand bien même la collecte serait considérée comme licite lorsqu’elle concerne des personnes qui n’ont pas décidé de limiter la visibilité de leurs coordonnées sur LinkedIn, la CNIL reproche tout de même à Kaspr plusieurs manquements majeurs au RGPD (II).
- Un traitement de données illicite pour non-respect des paramètres de confidentialité
Le RGPD exige que le traitement de données personnelles soit licite[3]. Autrement, pour être mis en œuvre, tout traitement de données doit se fonder sur l’une des « bases légales » prévues par le RGPD[4]. La base légale d’un traitement est ce qui autorise légalement sa mise en œuvre, ce qui donne le droit à un organisme de traiter des données personnelles. On peut également parler de « fondement juridique » ou de « base juridique » du traitement. Parmi elles, nous avons :
- le consentement (la personne concernée a consenti au traitement de ses données ;
- le contrat : le traitement est nécessaire à l’exécution ou à la préparation d’un contrat avec la personne concernée par le traitement) ;
- l’obligation légale (le traitement est imposé par des textes légaux) ;
- la mission d’intérêt publique (le traitement est nécessaire à l’exécution d’une mission d’intérêt public) ;
- l’intérêt légitime (le traitement est nécessaire à la poursuite d’intérêts légitimes de l’organisme qui traite les données ou d’un tiers, dans le strict respect des droits et des intérêts des personnes dont les données sont traitées) ;
- la sauvegarde des intérêts vitaux (le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée, ou d’un tiers).
Le responsable de traitement doit déterminer une base légale appropriée et cela en amont de la mise en œuvre du traitement. La base légale doit être spécifique à chaque finalité et adaptée au type de traitement envisagé, en tenant compte de plusieurs facteurs tels que le statut du responsable de traitement, le secteur d’activité, les objectifs poursuivis, les exigences réglementaires, et les implications pour les personnes concernées.
En l’espèce, Kaspr, en tant que responsable de traitement, fonde le traitement de données sur la base légale de l’intérêt légitime en précisant, d’une part, qu’il n’y a pas besoin d’obtenir le consentement des personnes concernées dès lors qu’elles se sont inscrites sur LinkedIn pour bénéficier d’une mise en relation avec d’autres professionnels, qui par ailleurs est l’objectif même de l’extension Kaspr, et d’autre part, que le traitement de données ne se limite pas à la prise en compte de son seul et unique intérêt dans la mesure où l’utilisation de l’extension Kaspr permet aux utilisateurs de prendre contact avec les personnes dont ils visitent le profil LinkedIn pour de la prospection commercial pour les professionnels.
Dans sa délibération, la CNIL considère, tout d’abord, que l’intérêt légitime ne peut pas être retenu comme une base légale valable pour fonder le traitement de données des personnes ayant décidé de restreindre la visibilité de leur profil sur LinkedIn (A), pour ensuite conclure qu’il n’existe aucune base légale valable pour le traitement en cause (B).
- L’intérêt légitime, une base légale non retenue pour le traitement de données des utilisateurs de LinkedIn ayant expressément limité leur visibilité
Le RGPD prévoit que pour fonder un traitement sur ses intérêts légitimes, l’entité traitant les données doit respecter certaines exigences[5].
Tout d’abord, l’intérêt poursuivi par l’organisme doit être légitime. Il n’existe ici pas de liste exhaustive des intérêts considérés comme légitimes mais le caractère légitime de l’intérêt poursuivi par une entité peut être présumé si l’intérêt est manifestement licite au regard du droit, s’il est déterminé de façon suffisamment clair et précise, et s’il est réel et présent pour l’entité concernée et non fictif.
En l’espèce, la CNIL reste constante dans l’interprétation et l’application des règles en la matière en considérant que l’intérêt poursuivi par Kaspr peut être qualifié de légitime car celui-ci a une nature commerciale et qu’il est, en plus, consubstantiel au modèle économique de Kaspr. En effet, le traitement de données est nécessaire à la poursuite du développement et la commercialisation de son extension, qui est considéré comme le cœur de son activité économique. En ce qui s’agit des entités utilisant l’extension Kaspr, autrement dit les clients de Kaspr, et donc ceux traitant, en leur qualité de responsables de traitement indépendants, les données des personnes cibles, la CNIL précise que cet intérêt légitime peut également s’appliquer à partir du moment où ils bénéficient d’un intérêt propre comme par exemple lorsqu’ils souhaitent utiliser ces contacts pour de la prospection commerciale pour les professionnels ou encore pour du recrutement.
Ensuite, l’intérêt légitime ne peut être retenu comme base légale du traitement de données que si le traitement permet effectivement d’atteindre l’objectif poursuivi, et non, en réalité, d’autres objectifs. Il convient en plus ici de vérifier qu’il n’existe pas de moyen moins intrusif pour la vie privée d’atteindre cet objectif que de mettre en œuvre le traitement envisagé.
En l’espèce, la CNIL vient confirmer que le traitement de données peut être considéré comme nécessaire à la poursuite du développement et la commercialisation de l’extension Kaspr, dont l’objectif même est de collecter des coordonnées professionnelles, notamment depuis LinkedIn, afin de constituer sa base de données et de les divulguer aux utilisateurs de l’extension pour leur permettre de contacter les personne cibles pour des activités telles que la prospection commerciale, le recrutement ou encore la vérification d’identité.
Enfin, le traitement de données ne doit pas heurter les droits et intérêts des personnes dont les données sont traitées, compte tenu de « leurs attentes raisonnables fondées sur leur relation avec le responsable de traitement »[6].
Pour rappel, sur LinkedIn, les personnes ont la possibilité, depuis l’interface des paramètres, de restreindre la visibilité de leurs coordonnées uniquement à eux même (« uniquement visible par moi ») ou bien à leurs relations de premier et/ou second niveau (c’est-à-dire les contacts et/ou les contacts des contacts). En l’espèce, Kaspr révèle collecter uniquement les coordonnées des personnes qui ont choisi de restreindre la visibilité de leurs coordonnées à leurs relations de premier et/ou second niveau. Or, la CNIL considère qu’en procédant ainsi, Kaspr va directement à l’encontre des attentes raisonnables de ces personnes car cela excède ce à quoi peuvent raisonnablement s’attendre les personnes qui s’inscrivent sur un réseau social professionnel tel que LinkedIn et qui décident de restreindre la visibilité de leurs informations. Ici, elle ne vise que les données collectées via LinkedIn de personnes qui ont entendu restreindre l’affichage de leurs coordonnées, et non les autres sources de collecte.
La CNIL vient rappeler dans cette délibération que même sur des plateformes publiques, les paramètres de confidentialité définis par les utilisateurs doivent être scrupuleusement respectés avant toute exploitation de données. Une donnée dite publique n’est pas automatiquement libre d’utilisation, et son exploitation nécessite une base légale rigoureuse. En effet, la CNIL vient préciser dans sa délibération que le choix de restreindre la visibilité de leurs coordonnées sur LinkedIn devait s’imposer au tiers et que cette action équivalait à une forme d’opposition. Ainsi, le fait d’avoir choisi de rendre leurs coordonnées visibles par leurs relations de premier et/ou second niveau, autrement dit leurs contacts directs et/ou indirects sur LinkedIn, ne revenait pas à autoriser Kaspr à accéder à leurs coordonnées, à les collecter, et encore moins à les diffuser à des tiers via la mise à disposition son extension. Enfin, la CNIL rappelle, en parallèle, que LinkedIn n’approuve pas non plus cette pratique en soulignant que sa politique de confidentialité insiste sur le fait que les données traitées à partir de son réseau social devait être fait conformément aux préférences des utilisateurs, chose que Kaspr n’a pas respecté en procédant à leur collecte et à leur divulgation via la mise à disposition de son extension.
Après avoir exclu l’intérêt légitime comme base légale valable pour le traitement de données des personnes qui ont décidé de restreindre la visibilité de leurs informations sur LinkedIn, la CNIL vient confirmer, en l’espèce, qu’aucune base légale ne peut être considérée comme valable pour ce traitement.
B. L’absence d’une base légale valable pour le traitement de données des utilisateurs de LinkedIn ayant expressément limité leur visibilité
Comme déjà mentionné ci-dessus, parmi les autres bases légales existantes, il y a le consentement, le contrat, l’obligation légale, la mission d’intérêt publique et la sauvegarde des intérêts vitaux.
Pour ce qui est du consentement, le RGPD[7] impose que celui-ci soit libre (il ne doit pas être contraint, ni influencé – autrement, la personne doit se voir offrir un choix réel, sans avoir à subit les conséquences négatives en cas de refus), spécifique (il doit correspondre à un seul traitement, pour une finalité déterminée), éclairé (il doit être accompagné d’un certain nombre d’informations communiquées à la personne concernée avant qu’elle ne consente) et univoque (il doit être donné par une déclaration ou tout autre acte positif clair). Les conditions applicables au consentement sont également définies dans le RGPD[8].
En l’espèce, la CNIL n’exclue pas le consentement comme base légale valable de manière générale mais vient simplement préciser que, dans ce cas d’espèce, les personnes dont les données de contacts ont été aspirées n’ont jamais consenti d’une quelconque manière à l’aspiration de leurs données de contacts sur LinkedIn, ni à leur transmission à Kaspr pour faire fonctionner son extension.
Pour ce qui est de la base légale du contrat, le RGPD[9] impose que le traitement soit objectivement nécessaire à l’exécution d’un contrat entre l’entité traitant les données et les personnes concernées par le traitement.
En l’espèce, aucun contrat ne lie les personnes concernées à Kaspr car elles ne sont pas utilisatrices de l’extension Kasp. Ce fondement ne peut donc pas être valable par défaut.
Enfin, la CNIL confirme que les autres bases légales (respect d’une obligation légale, sauvegarde des intérêts vitaux de la personne concernée ou exécution d’une mission d’intérêt public) n’apparaissent pas non plus comme des bases légales valables car elles ne sont pas applicables au cas d’espèce.
La collecte des données de contacts à travers l’import des contacts LinkedIn des utilisateurs ayant décidé de ne pas rendre visibles leurs données de contact à l’ensemble des autres utilisateurs, utilisés pour l’alimentation de la base de données de l’extension Kaspr est donc dépourvue de base juridique, de sorte qu’un manquement au RGPD[10] est constitué.
Ainsi, dans la mesure où Kaspr continue de traiter des données qui ont été collectées en l’absence d’une base légale valable pour le traitement de données des personnes ayant choisi de restreindre la visibilité de leurs coordonnées sur LinkedIn, la CNIL enjoint Kaspr de cesser la collecte de ces données, et de les supprimer. En revanche, elle lui permet étonnamment de les garder en cas d’impossibilité de distinguer ces données dont la visibilité a été limitée des autres données en lui demandant d’informer, dans un délai de 3 mois, ces utilisateurs du traitement de leurs données et de la possibilité de s’y opposer.
La CNIL précise bien dans sa délibération que le manquement évoqué ci-dessus ne concerne pas le traitement de données des personnes qui ont décidé de rendre leurs coordonnées visibles à tout public, qui lui peut de ce fait se fonder sur la base légale de l’intérêt légitime. En revanche, quand bien même ce traitement de données est considéré comme licite, la CNIL a pour autant constaté plusieurs manquements au RGPD.
II. Un traitement de données licite mais non conforme
Pour les cas où le traitement de données est licite, la CNIL reproche à Kaspr d’avoir manqué à son obligation de définir une durée de conservation proportionnée à la finalité du traitement (A), à son obligation de transparence et d’information des personnes (B), ainsi qu’à son obligation de faire droit aux demandes d’exercice du droit d’accès (C).
- Une durée de conservation disproportionnée à la finalité du traitement
Le RGPD[11] impose à chaque responsable de traitement de déterminer une durée de conservation des données cohérente et justifiée au regard de l’objectif du traitement. Aucune durée précise de conservation n’est déterminée par le RGPD. Certains textes, dispositions légales et réglementaires peuvent déterminer des durées précises. En dehors de ces sources, il appartient donc au responsable de traitement de définir la durée qui s’impose en fonction des caractéristiques de son traitement. L’analyse menée devra être intégrée dans sa documentation afin qu’il puisse être en capacité de justifier la durée ainsi retenue.
En l’espèce, la CNIL ne conteste pas la nécessité pour Kaspr de conserver les données des personnes cibles ne s’étant pas opposées au traitement de leurs données dans la mesure où leur divulgation aux utilisateurs de l’extension Kaspr constitue le principe du traitement. En revanche, elle relève toutefois qu’initialement, Kaspr indiquait dans sa politique de confidentialité qu’elle conservait les données sans limite de temps et que ce n’est qu’en 2021, soit trois ans après la mise en œuvre du traitement, que Kaspr a commencé à redéfinir sa politique de durée de conservation. Kaspr a, en effet, établi, postérieurement au contrôle, une politique de conservation des données de cinq ans, avec une remise à zéro du délai à chaque mise à jour des informations sur LinkedIn, laquelle intervient généralement lorsqu’une personne change de poste ou d’employeur.
Cette pratique a été jugée comme étant excessive par la CNIL car le renouvellement de la durée de conservation conduit à une conservation des données disproportionnée notamment pour des personnes qui changent de postes régulièrement et qui mettent donc à jour leurs données à chaque fois, prolongeant de ce fait leur conservation. De plus, la CNIL considère que la pratique d’une conservation « dynamique » par automaticité ne peut être compatible avec le respect du principe de conservation proportionnée. Les personnes concernées ne sont pas utilisatrices de l’extension Kaspr et n’ont donc pas de relation avec le responsable de traitement. De ce fait, Kaspr est dans l’incapacité de déterminer le moment d’inactivité des profils, entrainant ainsi une conservation d’informations obsolètes exacerbant ainsi la conservation disproportionnée des données.
En tout état de cause, quand bien même Kaspr explique avoir mis en place, depuis le 18 mai 2022, une campagne d’information par courriel qui permettait aux personnes de s’opposer au traitement de leurs données et donc, d’y mettre fin, la CNIL relève que l’envoi de ce message constituait à ce jour la seule occasion pour elles de faire part de leur volonté de ne plus figurer dans la base de données Kaspr. Cela voudrait dire que dans les cas de figure où les personnes ne s’opposeraient pas au traitement à l’occasion de la réception de ce message, Kaspr conservera leurs données indéfiniment.
Il résulte de ce qui précède que la politique de conservation des durées définie par Kaspr n’est pas proportionnée au regard des spécificités du traitement, ce qui constitue un manquement au RGPD[12]. Ainsi, la CNIL enjoint Kaspr de cesser le renouvellement dynamique automatique de la conservation des données des personnes cibles afin que Kaspr ne conserve pas leurs données de manière indéterminée et illimitée, mais au plus pendant cinq ans.
En plus du manquement à l’obligation de définir une durée de conservation proportionnée à la finalité du traitement, la CNIL reproche à Kaspr d’avoir manqué à son obligation de transparence et d’information des personnes concernées par le traitement.
B. Une information sur le traitement de données considérée comme non transparente
Le RGPD impose une information concise, transparente, compréhensible et aisément accessible des personnes concernées. Cette obligation de transparence est définie aux articles 12, 13 et 14 du RGPD. La transparence permet aux personnes concernées par le traitement de connaître la raison de la collecte des différentes données les concernant, de comprendre le traitement qui sera fait de leurs données, et d’assurer la maîtrise de leurs données, en facilitant l’exercice de leurs droits. Pour les responsables de traitement, elle contribue à un traitement loyal des données et permet d’instaurer une relation de confiance avec les personnes concernées.
Pour respecter l’équilibre entre les intérêts des entités qui réutilisent des données disponibles en libre accès et les intérêts des personnes concernées par le traitement, il est primordial que les entités fournissent, au plus tard lors du premier contact avec les personnes concernées ou lors de la première transmission des données à un tiers, si cela se produit, et en tout état de cause dans un délai maximum d’un mois après la collecte[13], les informations prévues à l’article 14 du RGPD et notamment celle relative à la source des données. En revanche, si l’information individuelle n’est pas réalisable, les entités se doivent de publier une information générale et collective, par exemple sur un site web, dans les meilleurs délais.
En l’espèce, Kaspr a commencé à informer les personnes concernées de la collecte et de l’utilisation de leurs données personnelles qu’en mars 2022, soit 4 ans après que la création de l’extension Kaspr donc après le traitement de données, par un courriel d’information rédigée exclusivement en anglais. Sans grande surprise, la CNIL reste constante dans l’interprétation et l’application des règles en matière de transparence et d’information.
Tout d’abord, s’agissant de l’obligation d’information, la CNIL considère d’une part que l’information devait être transmise dès la mise en œuvre de l’extension Kaspr dans la mesure où Kaspr avait la capacité d’informer les personnes concernées que leurs données étaient traitées et cela dès le déploiement de son extension dès lors que parmi les données qu’elle collecte figure une adresse email. La CNIL considère d’autre part que Kaspr ne peut se prévaloir de la simple mise à disposition de sa politique de confidentialité sur son site web pour considérer qu’elle a rempli son obligation d’information vis-à-vis des personnes concernées par le traitement.
Ensuite, s’agissant de l’obligation de transparence, la CNIL vient tout d’abord rappeler dans cette délibération que l’information des personnes dont les coordonnées sont traitées par un courriel uniquement disponible en anglais ne répond pas à l’exigence de fourniture d’une information transparente posée à l’article 12 du RGPD[14]. Ensuite, elle précise que, selon les lignes directrices du G29 sur la transparence[15], un aspect primordial du principe de transparence réside dans le fait que « la personne concernée devrait être en mesure de déterminer à l’avance ce que la portée et les conséquences du traitement englobent afin de ne pas être prise au dépourvu à un stade ultérieur quant à la façon dont ses données à caractère personnel ont été utilisées « et qu’ « une traduction dans une ou plusieurs langues devrait être fournie lorsque le responsable du traitement cible des personnes concernées parlant ces langues ».
Si Kaspr soutient que les professionnels dont les données sont collectées maîtrisent la langue anglaise dès lors qu’ils travaillent au sein de l’Union européenne, la CNIL considère que le seul fait que ces personnes soient inscrites sur LinkedIn et travaillent dans un pays de l’Union européenne ne préjuge pas de leur niveau d’anglais. Toute personne peut en effet s’inscrire sur LinkedIn, sans nécessairement exercer une profession qui requiert l’usage de l’anglais, comme l’a récemment soulevé l’autorité néerlandaise de protection des données dans le cadre d’un manquement à l’obligation de transparence à l’encontre des sociétés Uber Technologies Inc. et Uber BV. L’autorité néerlandaise de protection des données a en effet considéré que le responsable de traitement est dans l’obligation de traduire les informations fournies aux personnes dont les données sont traitées dans une langue qu’elles comprennent, et qu’il n’est pas possible de préjuger de leur niveau d’anglais[16]. L’absence d’information compréhensible pour les personnes a eu pour conséquence de les priver de la possibilité de s’opposer au traitement et donc au versement de ces données dans la base de données de Kaspr.
Il résulte de ce qui précède qu’entre 2018 et 2022 aucune information n’était fournie aux personnes concernées qui n’avaient pas restreints la visibilité de leurs données et que depuis 2022, une information est délivrée en anglais, ce qui ne répond pas à l’exigence de transparence, de sorte qu’un manquement aux articles 12 et 14 est constitué jusqu’à la mise en place de la possibilité pour les personnes de sélectionner la langue de leur choix. Ainsi, la CNIL enjoint Kaspr d’informer les personnes dont les données sont collectées dans une langue qu’elles maîtrisent.
Enfin, Kaspr a également failli dans un autre domaine qui est de faire droit aux demandes d’exercice du droit d’accès.
C. Une réponse non précise face à des demandes d’exercice du droit d’accès
Le RGPD[17] permet à toute personne d’accéder aux données qui la concernent. L’exercice du droit d’accès permet à la personne concernée de savoir si ses données personnelles sont traitées et d’en obtenir la communication dans un format compréhensible. Il permet également de contrôler l’exactitude des données et, au besoin, de les faire rectifier ou effacer. L’entité auprès duquel une personne demande son droit d’accès devra fournir une copie des données personnelle qu’il détient sur la personne ainsi que les informations mentionnées à l’article 15 du RGPD, et notamment celle relative à la source des données.
En l’espèce, les plaignants ayant fait l’objet d’un démarchage et ayant interrogé Kaspr sur la source des données n’ont reçu aucune réponse précise de la part de Kaspr qui se contentait simplement de leur indiquer que les données étaient disponibles sur des sources publiquement accessibles. Là encore, la CNIL reste constante dans l’interprétation et l’application des règles en matière de demande d’exercice des droits. Elle rappelle que le droit d’accès a pour objectif de permettre à la personne concernée de prendre connaissance du traitement de ses données et d’en vérifier la licéité. L’exercice de ce droit suppose donc que les informations fournies soient les plus précises possibles[18]. La CNIL vient préciser dans cette délibération que même si Kaspr ne pouvait pas techniquement préciser l’origine précise des données pour chaque individu, elle se devait de fournir des informations claires sur les méthodes et sources générales utilisées pour la collecte des données dès lors qu’elle est en capacité d’identifier certaines des sources utilisées pour collecter les données présentes dans sa base de données. En l’occurrence, Kaspr avait bien identifié précisément une partie des sources qui alimentent sa base de données et qu’il aurait dû, de ce fait, partager ces informations comme l’exige l’article 15 du RGPD.
Il résulte de ce qui précède que Kaspr n’a pas renseigné les personnes cibles ayant exercé leur droit d’accès sur la source à partir de laquelle elle avait collecté leurs données, de sorte qu’un manquement à l’article 15 du RGPD est constitué.
Ainsi, les entreprises qui ne se conforment pas à ces règles s’exposent non seulement à des sanctions financières significatives, mais aussi à un impact durable sur leur réputation. Les outils similaires à Kaspr ne sont donc pas exemptés de ces exigences.
[1] Le règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données est entré en application le 25 mai 2018 et abroge la direction 95/46/CE
[2] Article 4§1 du RGPD
[3] Article 5§1 (a) du RGPD
[4] Article 6 du RGPD
[5] Article 6§1 (f) du RGPD
[6] Considérant 47 du RGPD
[7] Article 4 du RGPD
[8] Article 7 du RGPD
[9] Article 6 du RGPD
[10] Ibid.
[11] Article 5§1 (e) du RGPD
[12] Ibid.
[13] Article 14§3 du RGPD
[14] CNIL, Délibération SAN 2023-023 du 29 décembre 2023
[15] Groupe de travail « Article 29 », Lignes directrices sur la transparence au sens du règlement (UE) 2016/679, adoptées le 29 novembre 2017, révisée et adoptée le 11 avril 2018
[16] Dutch data protection authority, 11 décembre 2023, Uber Technologies Inc. et Uber BV
[17] Article 15 du RGPD
[18] CNIL, Délibération SAN 2022-022 du 30 novembre 2022
