La Commission irlandaise pour la protection des données (DPC), qui agit pour le compte de l'Union européenne après une plainte déposée en 2018 par l'association française la Quadrature du Net, a notamment estimé que «le consentement obtenu par LinkedIn» auprès de ses utilisateurs pour l'utilisation de leurs données «n'a pas été donné librement, ni été suffisamment éclairé ou spécifique, ni sans ambiguïté».
Au-delà de l'amende, première dans l'UE pour LinkedIn, la DPC enjoint le réseau social «de mettre son traitement (des données) en conformité» avec le RGPD, poursuit-elle dans un communiqué. Sa décision complète sera publiée ultérieurement.
L'analyse comportementale et la publicité ciblée consistent à utiliser les informations fournies, déduites ou observées à propos d'un individu pour lui proposer des annonces sur mesure.
L'association de défense des internautes la Quadrature du Net avait déposé en 2018 cinq plaintes collectives contre LinkedIn (Microsoft) mais aussi Google, Apple, Facebook et Amazon, les accusant d'exploiter de manière illégale les données personnelles de leurs usagers.
Les plaintes, qui rassemblaient les noms de près de 12'000 personnes, avaient d'abord été déposées au siège de la Cnil (Commission nationale informatique et liberté), à Paris.
Le dossier visant Linkedn avait été transmis à son homologue irlandais, compétent pour agir au nom de l'UE car le siège européen de Microsoft se trouve en Irlande, comme ceux de nombreux géants de la Silicon Valley - par exemple Apple, TikTok, X, Meta ou Google.
Association française à la pointe des combats contre la surveillance numérique, qu'elle vienne des géants de la tech ou des États, la Quadrature du Net estimait que les entreprises visées par ses plaintes ne respectaient pas les règles dans leur manière de recueillir le consentement des internautes.
Cases pré-cochées
Elle pointait notamment les cases pré-cochées, ou les clauses stipulant que la continuation de l'utilisation du service vaut acceptation, et demandait «l'interdiction des traitements d'analyse comportementale et de ciblage publicitaire» ainsi qu'une amende administrative «la plus élevée possible».
«Le traitement des données personnelles sans base juridique appropriée constitue une violation claire et grave du droit fondamental» dont bénéficient les utilisateurs, a martelé Graham Doyle, responsable de la communication du régulateur irlandais.
La série de plaintes de la Quadrature du Net en 2018 avait déjà abouti à de lourdes amendes contre Google et Amazon, respectivement de 50 et 746 millions d'euros, infligées en France et au Luxembourg.
Les régulateurs du monde entier, en particulier l'UE, tentent depuis des années d'encadrer les géants de la tech en matière de concurrence déloyale ou de protection des données.
Ils sont notamment régulièrement mis en cause dans l'UE pour le traitement de données personnelles contraire à la réglementation européenne RGPD, lancée en 2018 pour protéger les consommateurs européens.
L'agence américaine de protection des consommateurs (FTC) a imposé l'an dernier à Microsoft de payer 20 millions de dollars pour mettre fin à des poursuites pour avoir récolté des données personnelles de mineurs inscrits sur la plateforme de jeux en ligne de la console Xbox, sans informer leurs parents.
L'entreprise avait aussi écopé en 2022 d'une amende de 60 millions d'euros de la Cnil pour n'avoir pas permis de refuser simplement les «cookies» sur son moteur de recherche Bing.