Pourquoi LinkedIn vous fait-il payer pour voir vos propres données ?

Derrière le rideau de votre réseau professionnel, un registre silencieux est constamment mis à jour. Chaque fois qu'un recruteur, un ancien collègue ou un inconnu curieux clique sur votre profil, LinkedIn enregistre cette interaction. Cette empreinte numérique n'est pas seulement une notification ; c'est un enregistrement granulaire de la manière dont vous êtes perçu sur le marché mondial du travail. Cependant, si vous souhaitez voir la liste complète des personnes qui vous ont consulté, LinkedIn présente une barrière familière : une invite d'abonnement pour un compte Premium.

Cette intersection entre monétisation et droits numériques est au cœur d'un nouveau défi juridique. Le groupe de défense de la vie privée NOYB (None of Your Business) a déposé une plainte formelle auprès de l'autorité autrichienne de protection des données (DSB), alléguant que LinkedIn retient des données personnelles en otage derrière un mur payant. En exigeant que les utilisateurs paient pour des informations qui leur appartiennent techniquement, LinkedIn est accusé de violer l'un des piliers les plus fondamentaux de la loi européenne sur la protection de la vie privée : le droit d'accès.

L'anatomie du droit d'accès

Pour comprendre ce litige, nous devons examiner l'article 15 du Règlement général sur la protection des données (RGPD). Dans un contexte réglementaire, l'article 15 est le « droit d'accès ». Essentiellement, il sert de miroir numérique, permettant aux individus de voir exactement quelles informations un Responsable du traitement (l'entreprise qui décide comment et pourquoi vos données sont utilisées) a collectées à leur sujet.

Crucialement, la loi précise que ces informations doivent être fournies gratuitement. La philosophie ici est simple : si les données sont le reflet de votre identité et de votre comportement, vous ne devriez pas avoir à racheter votre propre reflet. Lorsque vous soumettez une demande d'accès (SAR - Subject Access Request), l'entreprise est légalement tenue de fournir une copie complète de vos données personnelles sans étiquette de prix attachée.

Le modèle actuel de LinkedIn traite toutefois la section « Qui a consulté votre profil » comme un service à valeur ajoutée plutôt que comme un droit d'accès aux données. Bien que la plateforme offre un aperçu des visiteurs récents aux utilisateurs gratuits, l'historique complet est verrouillé. NOYB soutient que, parce que ces journaux identifient qui a visité le profil d'un utilisateur spécifique, ils constituent des données personnelles de cet utilisateur. Par conséquent, les cacher derrière un abonnement de 30 € par mois n'est pas seulement un choix commercial — c'est une violation statutaire.

Les empreintes numériques comme une piste de miettes de pain

Considérez vos interactions en ligne comme une piste de miettes de pain. Chaque pas que vous faites sur une plateforme comme LinkedIn laisse une trace. Pour l'utilisateur, ces miettes sont un enregistrement de sa portée professionnelle. Pour la plateforme, elles sont un actif à vendre.

Le conflit surgit lorsque nous demandons : à qui appartient la miette ? La position de LinkedIn a historiquement été que le service d'organisation et d'affichage de ces données est ce pour quoi les utilisateurs paient. Ils considèrent l'onglet « Qui a consulté votre profil » comme un outil sophistiqué de réseautage et de génération de prospects.

En revanche, les défenseurs de la vie privée y voient une simple requête de base de données. Si les données existent dans les serveurs de LinkedIn et vous concernent directement, l'article 15 suggère que vous avez un droit inhérent de les voir. En verrouillant cela, LinkedIn crée une situation précaire où les droits à la vie privée deviennent un luxe pour ceux qui peuvent se le permettre. Ce modèle de « paiement pour la vie privée » ou « paiement pour l'accès » est exactement ce que le RGPD a été conçu pour empêcher.

La plainte de NOYB : une analyse pratique

La plainte déposée par NOYB met en lumière un cas spécifique où un utilisateur a demandé son historique complet de consultation et s'est vu opposer un refus, à moins de passer à un compte Premium. Il ne s'agissait pas d'un simple problème technique, mais d'un refus dicté par une politique commerciale.

NOYB demande à la DPA autrichienne non seulement de forcer LinkedIn à fournir les données, mais aussi d'imposer une amende proportionnée. En vertu du RGPD, les amendes peuvent atteindre jusqu'à 4 % du chiffre d'affaires annuel mondial d'une entreprise. Bien qu'un chiffre aussi élevé soit rarement atteint, la menace sert de boussole pour l'industrie, signalant que le droit d'accès n'est pas négociable.

Est-ce une fonctionnalité ou une donnée personnelle ?

La défense de LinkedIn reposera probablement sur la distinction entre « données brutes » et un « service ». Ils pourraient faire valoir que l'identité d'un visiteur est la donnée personnelle du visiteur, et que la révéler au propriétaire du profil est une fonctionnalité spécialisée qui équilibre la vie privée des deux parties.

Cependant, le Comité européen de la protection des données (EDPB) a souvent penché vers une définition large des données personnelles. Si une information concerne une personne identifiée ou identifiable, elle est couverte. Puisque l'entrée du journal indique littéralement « L'utilisateur A a visité le profil de l'utilisateur B », cette entrée est sans doute la donnée personnelle de l'utilisateur A et de l'utilisateur B. Si l'utilisateur B demande une copie de ses journaux, LinkedIn — en tant que responsable du traitement — est théoriquement tenu de les fournir, sous réserve de certaines réserves.

Ce n'est pas la première fois que LinkedIn fait l'objet d'un examen minutieux. Les années précédentes, ils ont été condamnés à une amende pour avoir utilisé des adresses e-mail à des fins de publicité ciblée sans base juridique valide. Ce dernier défi est la continuation d'un effort systémique visant à garantir que les géants de la Silicon Valley opèrent avec la transparence requise par le droit de l'UE.

L'effet d'entraînement : au-delà de LinkedIn

Si la DPA autrichienne statue contre LinkedIn, l'impact se fera sentir dans tout l'écosystème « freemium ». De nombreuses plateformes utilisent des informations basées sur les données comme appât pour inciter les utilisateurs à acheter des services supplémentaires. Pensez aux applications de rencontre qui facturent pour voir qui a aimé votre profil, ou aux services de streaming musical qui offrent des informations plus approfondies sur vos habitudes d'écoute moyennant des frais.

Si le régulateur détermine que ces informations sont fondamentalement les données personnelles de l'utilisateur, les modèles économiques de dizaines de géants de la technologie pourraient être perturbés. La transparence deviendrait la norme par défaut, et les murs opaques entre les utilisateurs et leurs données devraient tomber. En fin de compte, cette affaire pose une question fondamentale sur l'économie numérique : un droit humain fondamental peut-il être traité comme une fonctionnalité premium ?

Conseils pratiques pour les utilisateurs et les entreprises

Pour l'individu, cette affaire rappelle que vous avez plus de pouvoir sur votre identité numérique que ce qu'un accord de conditions de service pourrait suggérer. Pour les entreprises, c'est un avertissement que la conformité doit être intégrée à la base d'un produit, et non ajoutée après coup.

Pour les utilisateurs :

• Exercez vos droits : Vous pouvez déposer une demande d'accès (SAR) auprès de n'importe quelle plateforme. Elles doivent répondre dans les 30 jours.
• Documentez les refus : Si une entreprise vous dit que vous devez payer pour voir les données qu'elle a collectées sur vous, gardez-en une trace. C'est souvent la première étape d'une plainte formelle.
• Auditez vos paramètres de confidentialité : Vérifiez quelles données vous partagez par inadvertance avec d'autres lors de vos propres visites de profil.

Pour les entreprises :

• Examinez les données verrouillées : Auditez vos fonctionnalités « Premium ». Facturez-vous l'accès aux propres données d'un utilisateur, ou facturez-vous un service ou une analyse unique ?
• Simplifiez le processus SAR : Assurez-vous que votre délégué à la protection des données (DPO) dispose d'un flux de travail clair pour fournir des exports de données complets incluant tous les journaux et métadonnées.
• Transparence dès la conception : Soyez clair dans votre politique de confidentialité sur les données collectées et sur la manière dont les utilisateurs peuvent y accéder gratuitement.

Alors que nous observons cette affaire se dérouler dans les mois à venir, l'issue servira de jalon pour l'autonomie numérique. La vie privée n'est pas un produit à acheter ; c'est un droit fondamental à protéger. Que LinkedIn le veuille ou non, l'ère du mur payant pour les données touche peut-être à sa fin.

Sources :

• Règlement général sur la protection des données (RGPD), Article 15 (Droit d'accès de la personne concernée).
• Plaintes officielles de NOYB (None of Your Business) (mai 2024).
• Lignes directrices 01/2022 de l'EDPB sur les droits des personnes concernées - Droit d'accès.
• Règles de procédure de l'autorité autrichienne de protection des données (Datenschutzbehörde).

Avertissement : Cet article est uniquement à des fins informatives et journalistiques. Il suit les développements juridiques en cours dans le domaine du droit de la vie privée et ne constitue pas un conseil juridique formel. Pour des conseils de conformité spécifiques, consultez un professionnel du droit qualifié.