En octobre dernier, LinkedIn a été condamné par l’autorité irlandaise de protection des données (DPC) à une amende de 310 millions d’euros pour des pratiques jugées contraires au règlement général sur la protection des données (RGPD). Cette décision fait suite à une plainte déposée en 2018 par la Commission nationale de l’informatique et des libertés (CNIL), qui accusait le réseau social professionnel de traiter les données des utilisateurs européens à des fins de publicité ciblée sans leur consentement explicite.
Dans ce contexte, LinkedIn a annoncé des changements majeurs concernant la manière dont les données des utilisateurs seront utilisées à partir du 22 janvier 2025, afin de se conformer à la législation européenne sur la protection de la vie privée.
Une nouvelle approche de la publicité ciblée
À partir de cette date, LinkedIn ne pourra plus utiliser des informations telles que l’âge, le sexe, les centres d’intérêt, les caractéristiques démographiques ou le lieu géographique déduit des utilisateurs pour diffuser des publicités personnalisées sans leur consentement. Ces modifications visent à respecter les exigences du RGPD et répondre directement à la décision de la DPC.
Bien que cette annonce marque une avancée dans la conformité de LinkedIn avec le droit européen, l’entreprise précise que ces changements ne s’appliqueront qu’à une partie des publicités ciblées. En effet, la société ne demandera pas le consentement pour les données que les utilisateurs choisissent de partager volontairement sur leur profil. Les critiques soulignent que cette approche ne va pas encore assez loin et qu’elle pourrait ne pas être suffisante pour répondre pleinement aux obligations du RGPD, notamment en matière de consentement pour la publicité ciblée.
Un contexte juridique complexe pour LinkedIn
Felix Mikolasch, avocat spécialisé dans la protection des données pour l’ONG Nyob, estime que les ajustements apportés par LinkedIn ne suffiront pas à garantir une conformité totale avec le RGPD. Selon lui, l’entreprise devrait obtenir le consentement explicite des utilisateurs pour toutes les publicités personnalisées, et pas seulement pour une partie d'entre elles. Il considère que les utilisateurs doivent être en mesure de choisir pleinement quelles données LinkedIn peut utiliser, ce qui n’est actuellement pas le cas.
La question du consentement reste au cœur du débat, comme l'a rappelé Maryant Fernández Pérez, responsable de la politique numérique au Bureau européen des unions de consommateurs (BEUC). Elle estime que les utilisateurs doivent avoir un contrôle total sur leurs données et pouvoir décider explicitement de leur utilisation pour les publicités, ce qui n’est pas encore garanti avec la nouvelle politique de LinkedIn.
Une mise en conformité partielle à surveiller
Le 24 janvier 2025, date butoir fixée par la DPC pour la mise en conformité, LinkedIn sera soumis à une évaluation rigoureuse de ses pratiques. La DPC collaborera avec la société pour s’assurer que les modifications récemment annoncées respectent pleinement les exigences du RGPD. Toutefois, la question demeure : ces ajustements suffiront-ils à convaincre les régulateurs européens qu’aucune donnée n’est utilisée à des fins commerciales sans consentement explicite des utilisateurs ?
LinkedIn semble déjà avoir anticipé cette situation, en affirmant qu’il était en conformité avec les règles européennes avant même le jugement irlandais. Cependant, les autorités européennes et les organisations de défense des consommateurs continueront de suivre de près les évolutions, et il est probable que des ajustements supplémentaires seront nécessaires pour répondre pleinement aux préoccupations liées à la protection des données personnelles.
Un modèle de consentement à réinventer ?
Cette situation fait écho aux récentes controverses autour du modèle "paiement ou consentement" adopté par Meta pour Facebook et Instagram. Ce système permet aux utilisateurs de choisir entre accepter l’utilisation de leurs données pour des publicités personnalisées ou payer pour ne pas en être ciblé. Bien que ce modèle ait été largement critiqué et fasse l’objet de poursuites judiciaires de la part de plusieurs organisations, il est peu probable que LinkedIn suive cette voie. L’entreprise semble préférer une approche moins intrusive, basée sur le consentement explicite pour certaines catégories de publicités.
En attendant, les régulateurs européens continuent de scruter de près les évolutions de la politique de LinkedIn, afin de s'assurer que les droits des utilisateurs sont respectés et que les entreprises se conforment aux exigences strictes du RGPD. Le cas de LinkedIn pourrait servir de précédent pour d’autres entreprises du secteur, confrontées à des enjeux similaires en matière de protection des données personnelles et de publicité ciblée.
En réponse à la condamnation de la DPC, LinkedIn entreprend une série de changements importants pour se conformer au RGPD, avec une attention particulière portée à la publicité ciblée et à l’obtention du consentement des utilisateurs. Toutefois, la mise en œuvre de ces changements semble partielle et sera suivie de près par les régulateurs européens. Les autorités devront déterminer si ces nouvelles pratiques respectent pleinement la législation sur la protection des données, tandis que les utilisateurs européens continuent d’attendre une plus grande transparence et un contrôle total sur l’utilisation de leurs informations personnelles.
