L'autorité nous révèle scruter les activités de Lusha. Cette extension fournit des coordonnées d'internautes en visitant leur profil LinkedIn ou Twitter. La société, qui se prétend conforme au RGPD, collecte des données de sources publiques et privées. Interrogée, elle refuse de nous les détailler.
Inscrivez-vous, installez l'extension navigateur puis allez sur n'importe quel profil LinkedIn pour obtenir ses numéros et adresses email. C'est la promesse de Lusha, un service signalé sur Twitter par @Paingout qui pensait un temps à une faille de LinkedIn. En réalité, Lusha a été taillé pour afficher les coordonnées de personnes physiques en complétant les profils du réseau professionnel avec ses propres données.
Sur la fiche LinkedIn du Premier ministre, Édouard Philippe, cet internaute a obtenu une adresse email et deux numéros de téléphone. Et selon nos tests, le répondeur du numéro mobile appartient bien à l'intéréssé. Mieux : sur sept autres essais, concernant notamment Mounir Mahjoubi et trois responsables des affaires publiques d'entreprises, cinq se sont avérés concluants. Trois ont même présenté des numéros de mobile.
Passés cinq profils consultés, sur LinkedIn, Twitter ou Salesforce, l'accès aux coordonnées devient payant. Il en coûtera au moins 300 dollars par an, pour 30 consultations mensuelles. Le service est cependant déjà sous le regard de la CNIL. « Un contrôle a été effectué concernant cette entreprise, les suites sont en cours d’instruction. En l’absence d’établissement sur le territoire français, une mesure de coopération internationale est envisagée » nous déclare l'autorité.
Mais d'où viennent ces données, et quels sont les recours ?
Une « Lusha Database » bien mystérieuse
En apparence, la société américaine, siégée à New York, semble prendre la mesure de la sensibilité de son activité. Elle présente trois pages sur la confidentialité : « Vos données », une politique de vie privée et une page pour le Règlement général sur la protection des données (RGPD).
Pour placarder ces précieuses données, elle déclare regrouper « des sources disponibles publiquement » et des données obtenues « via des partenaires commerciaux qui contribuent à la communauté Lusha ». En sus, des adresses email sont devinées via les modèles habituels des entreprises. Aucun détail n'est fourni sur ces sources. L'entreprise déclare en outre ne collecter que les coordonnées professionnelles.
Les données publiques incluent « celles disponibles sur Internet via une simple recherche Google ». La formule est innocente mais la méthode peut aller très loin, via le Google dorking, c'est-à-dire des requêtes extrêmement précises permettant de pêcher des documents laissés en ligne par inadvertance.
L'entreprise assure également qu'aucune donnée des clients interrogeant sa base, inscrits directement ou passant par des tiers, n'est incluse. Elle déclare aussi ne jamais fournir ses données en masse, mais seulement au cas par cas, à la consultation d'un profil concerné.
Nous avons néanmoins demandé à l'éditeur d'où proviennent ces fameuses informations, quelles sont ses sources « publiquement disponibles » et les garanties offertes quant au consentement des internautes.
La société s'est contentée de nous renvoyer vers sa documentation officielle, même après relance. « Comme vous le comprenez sûrement, en tant que société commerciale, Lusha ne peut pas révéler des informations si proches de son activité » a-t-elle conclu en guise de fin de non-recevoir.
Contacté, LinkedIn nous assure ignorer la provenance des données. Aucune information en possession de Lusha ne provient de LinkedIn, jure la société.
Un service via Gmail indiscret
Lusha fournit également un service sur Gmail, qui lui permet au passage d'accéder à l'ensemble des données d'une boite email. Les conditions d'utilisation révèlent qu'en acceptant de connecter son compte Gmail, le service « ajoutera automatiquement les informations des contacts à la Lusha Database ».
Bien entendu, l'application est révocable via les paramètres du compte Google, comme toutes les autres. Notons que cette fonctionnalité pourrait disparaître l'an prochain. Le groupe californien vient d'annoncer un tour de vis sur les applications tierces, n'acceptant plus que celles ayant directement trait au traitement d'emails dès février.
L'intérêt légitime à la collecte
Concernant le RGPD, qui menace les indélicats d'une amende jusqu'à 4 % du chiffre d'affaires mondial, Lusha se conforme au moins dans la forme. Pour la collecte et le traitement des données personnelles, la société invoque en effet « l'intérêt légitime » à fournir un tel service.
Sur six bases de traitement, qui autorisent le malaxage des informations personnelles, c'est la plus permissive. L'intérêt légitime est une véritable carte joker, utilisée par les sociétés souhaitant esquiver le consentement préalable des internautes à la collecte et de leurs données.
En parallèle, les données peuvent sortir de l'Union européenne, notamment aux États-Unis avec le Privacy Shield. Un accord contesté par le Parlement européen.
Enfin, Lusha référence une adresse à Hambourg, en Allemagne, comme établissement européen.
Une rectification possible, mais pas de traçabilité
Pour se protéger, Lusha met en évidence de nombreux liens vers sa page de désinscription de sa base de données. Il est donc possible, via un formulaire, de retirer ses données du service.
Pour autant, elle se réserve le droit de masquer la provenance de ces informations. « Lorsque possible, nous sommes heureux de fournir aux sujets des traitements la source exacte des données associées. Mais, dans certains cas, pour des raisons techniques, localiser la source des données est impossible ou demande un effort disproportionné » écrit l'entreprise sur la page « Vos données ». Autrement dit, aucune traçabilité n'est garantie.
L'instruction par la CNIL, sur laquelle nous n'avons pas plus de détails, durera sûrement encore quelques mois. Il n'est pas certain que les conclusions soient publiques, une partie des procédures restant strictement confidentielles.
Commentaires (17)
Je ne vois possible comme origine que des bases de données leakées ces dernières années (je pense notamment à Domino’s Pizza en 2014, 648231 comptes avec numéros de téléphone lâchés dans la nature).
Un bon coup de RGPD dans leur gueule ne serait pas de trop.
c’est plus que limite leur concept.
et ça dure depuis quelques temps
Par contre, impossible de savoir si on est dans leur base ?
Je viens d’installer l’extension pour tester… et paf, il faut s’inscrire pour pouvoir l’utiliser.
Je n’allais tout de même pas me mettre dans une base de données pour vérifier si je suis dans une base de données !
Et tout leur fournir (si ils ne l’avaient pas déjà) en remplissant le formulaire de désinscription… comment dire…
Avec toutes les applications pour téléphone qui ont les autorisations sur les contacts cela permet facilement et à peu de frais de constituer un méga annuaire téléphonique !
Il suffit qu’un de nos contacts une application de merde qui a accès aux contacts et pouf nos coordonnées sont sauvegardées dans le “cloud” pour notre bien (pour faire du business sur nos coordonnées sans notre accord).
Quelqu’un a test ?
" />
https://www.linkedin.com/today/author/emmanuelmacron
Bon plus sérieusement, la CNIL semble avoir trouvé sa première cible hors territoire européen depuis le RGPD, on verra comment se passe la demande de coopération
La communication est interrompue depuis une semaine.
" />
Edit : au moins !
Il n’y a que moi que ça choque de voir des politiques avoir leur page PRO sur Linkedin ?
je vois pas ce qui est choquant.
le contraire m’interrogerait par contre: pourquoi vouloir supprimer des infos sur ses activités passées?
Édouard Philippe mange donc de la pizza ;)
Merci de ne pas dévoiler de numéro de téléphone. On les a cachés dans les captures, ce n’est pas pour les retrouver en commentaire, quand bien même seraient-ils périmés ou que sais-je.
J’ai testé et ca donne 2 adresses emails (gmail et élysée) et 2 numéros de téléphone (un fixe et un portable).