Plainte contre Linkedin sur la consultation des profils

L'association Noyb a attaqué Linkedin pour avoir réservé aux abonnés premium l'accès aux données des personnes ayant consulté leur profil. Elle estime cette pratique contraire au RGPD.

Une plainte a été déposée auprès de la Cnil autrichienne par l’association Noyb dirigée par l’avocat Max Schrems contre Linkedin. L’objet du contentieux porte sur la fonctionnalité « Qui a consulté mon profil ? » dont l'accès aux données est réservé aux abonnés payants du réseau social. Pour l’association, cette restriction enfreint l’article 15 du RGPD portant sur le droit d’accès d’une personne à ses propres données.

Pour mémoire, cette fonction a été offerte aux utilisateurs dés 2007 avant de la transformer en avantage réservé aux abonnés. Cette décision était antérieure à l’entrée en vigueur du RGPD en 2018. Pour Noyb, c’est précisément là que se situe le problème. Les données liées aux visiteurs d’un profil devraient être accessibles gratuitement aux citoyens européens au titre du RGPD. Or quand un utilisateur formule une demande officielle d’accès à ses données, Linkedin refuse au nom de la protection des données. Mais s’il s’abonne au forfait premium, ces mêmes données deviennent soudainement accessibles.

Dans un communiqué, l’association de défense de la vie privée juge contradictoire la position de Linkedin. Selon elle, l’entreprise restreint l’accès à des données qui devraient légalement être gratuites, afin de préserver l’intérêt de son offre payante. « Soit les données ne doivent être accessibles à personne, soit, s’il est clair pour le visiteur que les données sont visibles, elles doivent également être divulguées conformément à l’article 15 du RGPD », a déclaré Noyb. Elle estime donc que le fait de facturer l’accès à ces informations est illégal et justifierait une amende afin d’éviter de nouvelles infractions.

Linkedin se défend

LinkedIn fera sans doute valoir auprès l’autorité autrichienne de protection des données que tous les utilisateurs, y compris les abonnés gratuits, peuvent choisir de ne pas rendre visible la consultation de leur profil en désactivant la fonctionnalité dans Paramètres/onglet Visibilité/« Visibilité lors de la consultation d’autres profils ». Chaque visite d’un utilisateur sur un autre profil est alors enregistrée comme provenant d’un « membre LinkedIn anonyme ». Les utilisateurs gratuits peuvent également voir les cinq derniers visiteurs de leur profil, à condition que ces utilisateurs n’aient pas sélectionné ce paramètre d’anonymat.

Il est possible que l’entreprise fasse valoir en outre que, en vertu de l’article 15, le droit des utilisateurs de savoir qui a consulté leurs données entre en conflit avec le droit des autres utilisateurs de préserver leur propre vie privée. Interrogé sur cette plainte, un porte-parole de LinkedIn a rejeté les accusations de l’association : « Cette affirmation est fausse. Non seulement il est inexact de dire que seuls les membres premium peuvent voir qui a consulté leur profil, mais nous respectons également l’article 15 du RGPD en divulguant les informations en question via notre politique de confidentialité. »

Une issue incertaine

Pour Helen Brain, associée au cabinet d’avocats Square One Law au Royaume-Uni, l’issue de cette affaire reste incertaine. « Noyb semble disposer d'arguments solides pour affirmer que Linkedin enfreint le RGPD d'une manière ou d'une autre, mais il est impossible de dire quelles sont leurs chances de succès avant d'avoir pris connaissance des contre-arguments de Linkedin », a-t-elle déclaré. Selon elle, la plainte repose notamment sur l’idée que les visites de profil devraient relever de l’article 15 du RGPD, consacré au droit d’accès. « Si les données personnelles du visiteur sont considérées comme privées et ne peuvent pas être communiquées dans le cadre d’une demande d’accès aux données effectuée par la personne visitée, alors il paraît logique que ces mêmes informations ne puissent pas non plus être divulguées aux détenteurs de comptes premium », a déclaré Helen Brain. « Si l’association obtient gain de cause, l’Autorité autrichienne de protection des données pourrait alors prononcer une amende potentiellement importante. »

Il reste toutefois difficile, avant toute décision, d’anticiper les conséquences plus larges d’une telle affaire sur les entreprises IT qui utilisent une approche fondée sur les « données comme fonctionnalité » pour encourager les abonnements payants. Si Noyb l’emporte, Linkedin pourrait être contraint soit de ne plus révéler l’identité des visiteurs de profil, soit de rendre ces informations accessibles gratuitement dans le cadre des demandes d’accès aux données. Helen Brain estime néanmoins que le débat pourrait finalement porter sur la manière dont le consentement des utilisateurs est recueilli. « Même si LinkedIn devait modifier ses pratiques, l’entreprise trouverait probablement un moyen d’obtenir le consentement nécessaire pour autoriser légalement la divulgation de l’identité des visiteurs de profil et continuerait à facturer les données qu’elle collecte. »