La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de M. Philippe-Pierre CABOURDIN, président, M. Vincent LESCLOUS, vice-président, Mesdames Isabelle LATOURNARIE-WILLEMS et Laurence FRANCESCHINI, Messieurs Didier KLING et Bertrand du MARAIS, membres ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données ;

Vu la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques ;

Vu la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 20 et suivants ;

Vu le décret no 2019-536 du 29 mai 2019 pris pour l’application de la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la délibération no 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l’informatique et des libertés ;

Vu la délibération n° SAN-2024-020 du 5 décembre 2024 adoptée par la formation restreinte à l’encontre de la société KASPR ;

Vu les éléments transmis par la société KASPR les 30 mai et 25 décembre 2025 ;

Vu les autres pièces du dossier ;

Après en avoir délibéré lors de la séance du 13 février 2026, a adopté la décision suivante :

I. FAITS ET PROCÉDURE

1. Par décision du 5 décembre 2024, signifiée à la société KASPR (ci-après, « la société » ou « la société KASPR ») le 18 décembre 2024, la formation restreinte a enjoint à cette dernière :

o " s’agissant du manquement à l’article 6 du RGPD,

— de cesser de collecter des données des contacts des utilisateurs de KASPR ayant choisi de limiter la visibilité de leurs coordonnées ;

— de supprimer l’ensemble des données de contacts importées lors de la synchronisation des comptes LinkedIn des utilisateurs ayant choisi de limiter la visibilité de leurs coordonnées ou à défaut, en cas d’impossibilité de distinguer ces données dont la visibilité a été limitée des autres données, de les informer, dans un délai de 3 mois, du traitement de leurs données et de la possibilité de s’y s’opposer et de n’utiliser les données que dans ce but ;

o s’agissant du manquement à l’article 5-1-e du RGPD, concernant les personnes cibles, cesser de renouveler automatiquement la durée de conservation de 5 ans des données des personnes cibles dès la mise à jour de leur profil et ne conserver les données que pour une durée proportionnée au traitement ;

o s’agissant du manquement aux articles 12 et 14 du RGPD: d’informer les personnes concernées de l’ensemble des mentions prévues à cet article dans une langue qu’ils maîtrisent ;

o s’agissant du manquement à l’article 15 du RGPD,

— de faire suite aux demandes de droit d’accès des personnes en leur fournissant toute information disponible quant à la source qui a permis le versement de leurs données de contacts dans la base de données de la société ;

— et de faire droit aux demandes de droit d’accès des personnes à l’origine des saisines […] dans les mêmes conditions, avant suppression des données relatives aux saisines […]. "

Cette injonction était assortie d’une astreinte de dix mille (10 000) euros par jour de retard à l’issue d’un délai de six mois suivant la notification de la délibération, les justificatifs de la mise en conformité devant être adressés à la formation restreinte dans ce délai.

2. Le 30 mai 2025, dans le délai fixé par la délibération, la société a adressé à la formation restreinte des éléments en vue de justifier sa mise en conformité, en présentant les mesures mises en œuvre. Celles-ci ont consisté en l’effacement de la base de données de la société – emportant ainsi la suppression de toutes les données qu’elle contenait -, la cessation de toute collecte de données sur le réseau social LinkedIn, la modification du mécanisme de renouvellement automatique de la durée de conservation des données en cas de mise à jour du profil, la fourniture d’une information des personnes concernées par le traitement dans toutes les langues officielles de l’Union européenne, et la transmission des réponses apportées aux demandes de droit d’accès des plaignants.

3. Par courrier du 28 novembre 2025, les services de la CNIL ont demandé des précisions à la société s’agissant de sa nouvelle politique en matière de conservation des données afin de s’assurer de sa conformité avec les termes de l’injonction. Par ailleurs, les services de la CNIL ont signalé à la société qu’une demande de droit d’accès demeurait toujours sans réponse de sa part.

4. Le 25 décembre 2025, la société a complété les éléments précédemment transmis en confirmant qu’elle avait bien mis fin au mécanisme de renouvellement automatique de conservation des données visé dans l’injonction. Elle a également produit une capture d’écran permettant de constater qu’elle avait répondu à la dernière demande d’accès visée dans l’injonction, les services de la CNIL lui ayant rappelé les coordonnées de la personne concernée.

II. MOTIFS DE LA DECISION

5. En premier lieu, s’agissant de la licéité du traitement, la formation restreinte relève que la société a, d’une part, supprimé l’intégralité de sa base de données et, d’autre part, qu’elle a mis fin au mécanisme d’extraction des coordonnées des personnes sur LinkedIn. La formation restreinte constate ainsi que plus aucune donnée ayant été collectée illicitement ne figure dans la base de données et que la collecte des données depuis LinkedIn s’effectue désormais dans le respect de l’article 6 du RGPD.

6. En deuxième lieu, s’agissant de la durée de conservation des données, la formation restreinte note qu’il ressort des éléments fournis par la société qu’il n’existe plus de mécanisme de renouvellement automatique de la durée de conservation de 5 ans d’un profil professionnel dans la base de données KASPR à chaque changement de poste ou d’employeur des personnes cibles. La société ayant par ailleurs supprimé sa base de données, elle ne détient plus de données ayant été collectée depuis plus de cinq ans.

7. En troisième lieu, s’agissant de la transparence et de l’information des personnes, la formation restreinte observe que la société a mis en place une information par courriel des personnes dont les coordonnées ont été collectées et intégrées dans la base de données de KASPR, qui renvoie vers un lien leur permettant d’exercer leur droit d’opposition. Ce courriel d’information est disponible dans toutes les langues officielles de l’Union européenne, ce qui permet de garantir une information transparente.

8. En quatrième lieu, s’agissant de l’exercice du droit d’accès, la formation restreinte relève qu’il ressort des éléments fournis par la société qu’elle a répondu aux demandes d’accès formulées par les plaignants, qui étaient visées dans l’injonction, et que, lorsque leur demande portait également sur l’opposition au traitement de leurs données, la société les a informés de la suppression de sa base de données.

9. Il résulte de ce qui précède que la société a satisfait à l’injonction dans le délai imparti.

PAR CES MOTIFS

La formation restreinte de la CNIL, après en avoir délibéré, décide :

— de dire n’y avoir lieu à liquidation de l’astreinte ;

— de rendre publique, sur le site de la CNIL et sur le site de Légifrance, la présente délibération qui n’identifiera plus nommément la société à l’expiration d’un délai de deux ans, le point de départ étant la publication de la délibération n° SAN-2024-020 du 5 décembre 2024.

Le président

Philippe-Pierre Cabourdin