Logo du cabinet Mathias avocat : image cliquable pour retourner à la page d'accueil
Traitement de données personnelles…et absence d’application du RGPD
10 février 2023

Par une délibération du 20 décembre 2022, la Commission nationale de l’informatique et des libertés (Cnil) a jugé que le Règlement général sur la protection des données (RGPD) n’était pas applicable à une société américaine, bien que cette dernière traite des données à caractère personnel de personnes résidant au sein de l’Union européenne (UE).

La formation restreinte a décidé de rendre publique cette délibération pour que l’ensemble des personnes concernées soient informées que les traitements en question ne sont pas soumis au RGPD.

Quels sont les traitements mis en œuvre ? Pourquoi le RGPD n’est-il pas applicable ? Qu’est-ce qu’un suivi du comportement permettant de déterminer si le RGPD est applicable ?

RGPD

Quels sont les faits et la procédure ?

La société en cause est établie aux États-Unis et détenue par une société israélienne. Elle ne dispose d’aucun établissement sur le territoire de l’UE.

Elle commercialise une extension, disponible à partir de son site web, permettant à ses utilisateurs d’obtenir les coordonnées professionnelles de personnes ayant un profil LinkedIn ou Salesforce afin de les démarcher. Jusqu’en août 2022, la société éditait également plusieurs applications, à travers trois filiales qu’elle détient à 100 %. Ces applications étaient disponibles depuis le territoire français sur les systèmes Android et iOS et offraient aux utilisateurs un service de « gestion des contacts ».

A la suite d’un signalement, plusieurs contrôles en ligne ont été réalisés en 2019 sur le site web et les applications mobiles. A l’issue de son instruction, le rapporteur a constaté plusieurs manquements (non détaillés dans la délibération).

Si la formation restreinte estime que le RGPD est inapplicable, elle analyse les différents traitements mis en œuvre et identifie le responsable du traitement dans sa délibération.

Quels sont les traitements mis en œuvre ?

Les différentes opérations de traitement mises en œuvre peuvent être décrits de manière suivante :

  • Les applications mobiles développées par les filiales aspirent les carnets d’adresses de leurs utilisateurs pour les transférer à la société mère. Un filtrage est opéré et seuls les numéros de téléphones et/ou les adresses électroniques sont collectés.
  • Les données collectées alimentent une base de données détenue par la société mère.
  • Quant à l’extension, elle permet d’obtenir les numéros de téléphone et les adresses électroniques de la personne dont le profil est visité.
  • L’extension compare ensuite le nom de la personne avec ceux stockés dans la base de données de la société mère.
  • En cas de correspondance, l’extension vérifie que l’entreprise renseignée comme étant l’employeur sur le profil est celle recensée dans la base de données.

Pour la formation restreinte, ces opérations participent à un seul et même traitement. Ce traitement poursuit « les finalités de lutte contre la fraude en ligne et de mise à disposition de coordonnées de prospects ».

Qui sont les personnes concernées ?

La formation restreinte relève que le fonctionnement de l’extension fait intervenir trois catégories de personnes :

  • les utilisateurs des applications mobiles, c’est-à-dire les personnes dont les carnets d’adresse sont aspirés,
  • les personnes cibles, à savoir celles dont les profils sont visités et dont les données sont collectées et rapprochées avec la base de données existante,
  • les utilisateurs de l’extension, c’est-à-dire les clients de la société.

Dans le cadre de la délibération prononcée, les personnes concernées « ne sont ni utilisatrices de l’extension [litigieuse], ni utilisatrices des applications développées par les filiales de la société, leur présence dans la base de données [litigieuse] s’expliquant uniquement par le fait que leurs coordonnées figuraient dans le carnet d’adresses d’un ou de plusieurs de leurs contacts (ami, famille, collègue, etc.) ayant téléchargé les applications ».

Ainsi, les personnes concernées sont celles qui sont ciblées par les utilisateurs de l’extension.

Qui est le responsable du traitement ?

La société considère n’être responsable que des traitements résultant de l’utilisation de l’extension, à l’exclusion de ceux mis en œuvre à partir des applications mobiles (collecte des données figurant dans les carnets d’adresse et leur transmission à la société en cause).

Toutefois, la formation restreinte relève que :

  • les traitements mis en œuvre à partir des applications mobiles sont nécessaires à l’alimentation de la base de données de la société ainsi qu’au bon fonctionnement de son extension ;
  • la société dispose d’un pouvoir décisionnel sur les trois filiales qui sont détenues à 100 % et qui ne disposent d’aucun employé.

Dès lors, la formation restreinte considère que la société en cause détermine, au moins en partie, les finalités et moyens de ces traitements. Toutefois, elle ne se prononce pas sur la qualité des trois filiales.

Pourquoi le RGPD n’est-il pas applicable ?

Pour rappel, l’article 3 du RGPD prévoit que ce dernier s’applique :

  • aux traitements des données par une entité établie sur le territoire de l’UE, que ces traitements aient lieu ou non dans l’UE ;
  • aux traitements des données relatives aux personnes qui se trouvent sur le territoire de l’UE par une entité qui n’est pas établie dans l’UE, lorsque ces traitements sont liés : (1) à l’offre, gratuite ou payante, de biens ou de services à ces personnes ou (2) au suivi du comportement de ces personnes dès lors que ce comportement a lieu au sein de l’UE.

En l’espèce, la société ne dispose d’aucun établissement sur le territoire de l’UE, de sorte que le critère d’établissement ne peut s’appliquer.

Par ailleurs, l’extension n’est pas liée à une offre de biens ou de services aux personnes concernées, à savoir les personnes cibles. Ce critère est donc également écarté.

Concernant le critère de suivi de comportement des personnes concernées, la formation restreinte reprend les lignes directrices 3/2018 relatives au champ d’application territorial du RGPD, publiées par le Comité européen de la protection des données (CEPD). Selon le CEPD, le critère de suivi de comportement s’interprète de manière suivante :

  • Le « suivi » implique que le responsable du traitement poursuit un objectif spécifique en vue de la collecte et de la réutilisation ultérieure des données pertinentes relatives au comportement.
  • La collecte ou l’analyse en ligne de données n’est pas automatiquement considérée comme un « suivi ».
  • Il faut tenir compte de la finalité du traitement des données et notamment de toute analyse comportementale ou technique de profilage ultérieure impliquant ces données.

En l’espèce, la formation restreinte admet que la société en cause traite des données personnelles relatives à des personnes physiques situées au sein de l’UE. Toutefois, elle précise qu’il n’est aucunement établi que ces personnes fassent l’objet de techniques de profilage, et ainsi, de suivi de comportement par la société. En effet, la constitution de la base de données par la société repose sur un rapprochement entre les données de contacts professionnels avec l’identité des personnes cibles, afin d’en vérifier la véracité. Il ne s’agit donc pas d’un traitement consistant en l’analyse ou la prédiction de comportement, de préférences personnelles ou d’intérêts.

Aucun critère énuméré à l’article 3 n’étant rempli, le RGPD n’est pas applicable au traitement en cause.

Que retenir sur l’application du RGPD ?

C’est la première fois que la formation restreinte de la Cnil prononce un non-lieu en estimant que le RGPD est inapplicable. Pour autant, les données des personnes cibles, dont les résidents de l’UE, font l’objet d’un traitement au sens du RGPD. 

Cette délibération met donc en exergue les limites du champ d’application territoriale du RGPD.