Extension pour navigateur Lusha : la formation restreinte de la CNIL estime que le RGPD n’est pas applicable
Le 20 décembre 2022, à l’issue de la procédure de sanction initiée par la présidente de la CNIL, la formation restreinte de la CNIL a prononcé un non-lieu à l’égard de la société américaine Lusha en considérant que le RGPD ne s’appliquait pas au cas d’espèce.
La société LUSHA SYSTEMS INC. commercialise une extension pour navigateur web (l’extension Lusha) qui révèle à ses clients les coordonnées professionnelles (numéro de téléphone et adresse électronique) de personnes cibles dont ils visitent le profil sur le réseau social LinkedIn ou sur la plateforme de relation clients Salesforce.com.
L’extension fonctionne notamment grâce aux applications mobiles de gestions de contacts « Simpler », « Mailbook » et « Cleaner Pro », disponibles depuis le territoire français jusqu’en août 2022, qui aspirent les carnets d’adresses des utilisateurs.
Selon la société, cette extension a pour finalité de lutter contre la fraude en ligne. La CNIL a relevé que cette extension poursuit également une finalité de mise à disposition de coordonnées de prospects en révélant à ses clients les coordonnées professionnelles des personnes cibles dont le profil LinkedIn ou Salesforce est visité.
À la suite des plaintes reçues entre 2018 et 2021 et au regard des éléments recueillis lors des contrôles, la présidente de la CNIL avait décidé de saisir la formation restreinte, l’organe de la CNIL chargé de prononcer les sanctions, en mars 2021.
Dans sa délibération du 20 décembre 2022, la formation restreinte a considéré qu’il n’y avait pas lieu de prononcer une sanction à l’encontre de la société dès lors que les éléments versés au dossier ne permettaient pas d’établir que le RGPD était applicable à l’extension Lusha :
- la société ne dispose d’aucun établissement dans l’Union européenne, de sorte que le critère de l’établissement prévu au paragraphe 1 de l’article 3 du RGPD ne lui est pas applicable ;
- l’extension Lusha n’est pas liée à une offre de biens ou de services aux personnes concernées. Le critère relatif à l’offre de biens ou de services aux personnes concernées prévu au paragraphe 2, a) du même article n’est pas non plus applicable ;
- il n’était pas établi que les personnes concernées font bien l’objet d’un suivi de comportement par la société qui n’utilise pas de techniques de traitement de données à caractère personnel qui consistent en un profilage d’une personne physique. Le critère relatif au suivi de comportement des personnes concernées, prévu au paragraphe 2, b) de ce même article 3, n’est pas non plus applicable à la société.
Au regard de la position adoptée par la formation restreinte, le dossier a donc été clôturé.