Le 20 décembre 2022, l’autorité française de protection des données (« CNIL ») a clos une enquête contre un fournisseur d’extensions de navigateur américain (la « Société »), après avoir conclu que ses activités n’étaient pas soumises au Règlement général sur la protection des données (RGPD). La décision de la CNIL est disponible ici en français.
La Société fournit une extension de navigateur (« Extension ») qui permet aux Utilisateurs d’obtenir les coordonnées professionnelles (numéro de téléphone et adresse e-mail) des personnes visitant leur profil LinkedIn ou la Plateforme Client Salesforce. Après avoir reçu des plaintes entre 2018 et 2021, la CNIL a lancé une enquête sur l’extension. Alors qu’elle affirmait que la Société était le responsable du traitement de tous les traitements liés à l’utilisation de l’extension, la CNIL a conclu que ces traitements n’entraient pas dans le champ d’application du RGPD et a donc abandonné ses poursuites à l’encontre de la Société.
Selon la CNIL, aucune des normes de l’article 3 du RGPD n’a été appliquée concernant :
- La société n’est pas constituée dans l’Union européenne et, par conséquent, la norme de constitution de l’article 3, paragraphe 1, du RGPD ne s’applique pas ;
- La Société ne fournit pas de biens ou de services aux personnes concernées de l’UE via son extension. En fait, les personnes concernées dans le cas présenté sont les personnes dont le profil est visité par les utilisateurs, et ces personnes concernées ne reçoivent aucun bien ou service de la société. Ainsi, la norme énoncée à l’article 3, paragraphe 2, point a), du RGPD ne s’applique pas ;
- La Société ne collecte ni ne traite de données personnelles liées au comportement des personnes concernées, et son extension permet uniquement aux utilisateurs de vérifier les coordonnées professionnelles et d’identifier les profils frauduleux. La CNIL n’a trouvé aucune preuve d’activités de « suivi », de « contrôle » ou d’« identification » et a donc conclu que la norme relative au contrôle du comportement des personnes concernées énoncée à l’article 3, paragraphe 2, point b, du règlement général pour la protection des données , il ne s’applique pas à l’entreprise.
La décision de la CNIL précise les limites du champ d’application externe du RGPD et notamment la norme énoncée à l’article 3(2) du RGPD. Citant les orientations précédentes du Comité européen de la protection des données (« EDPB ») sur le champ d’application territorial du règlement général sur la protection des données (disponibles ici), la CNIL a souligné que la simple collecte ou l’analyse de données à caractère personnel d’individus dans l’UE ne peut pas automatiquement être considérée comme une « surveillance » ou un « profilage », par exemple. Alternativement, ce n’est que lorsque le responsable du traitement a un objectif spécifique à l’esprit pour la collecte et la réutilisation ultérieure des données personnelles (y compris, en particulier, toute analyse comportementale ultérieure ou techniques de profilage incorporant lesdites données) que l’article 3, paragraphe 2, point b), du le Code s’appliquera Règlement général sur la protection des données.
