Les données de 700 millions de comptes LinkedIn en vente
LinkedIn doit de nouveau se confronter au phénomène du scraping. Le site PrivacySharks a ainsi repéré une annonce sur un forum, proposant à la vente des données personnelles récupérées via le réseau social détenu par Microsoft. Parmi les données proposées, l’internaute promet de récupérer les noms, prénoms, adresses e-mail, numéros de téléphone et informations sur la carrière enregistrée par l’utilisateur sur son profil. Les mots de passe des utilisateurs ne sont pas concernés, et les informations semblent correspondre à ce que l’utilisateur a entré sur son profil LinkedIn et rendu visible aux autres utilisateurs du réseau social. Le vendeur de données indique posséder des données concernant plus de 700 millions de comptes utilisateurs, et offre un exemple d’un million de profils en accès gratuit, afin de prouver l’authenticité des données récupérées. Le prix pour le lot complet est à négocier en privé, directement avec le vendeur.
Contacté par PrivacyShark, LinkedIn a publié un communiqué concernant cette revente de données : « nous enquêtons actuellement sur ce problème. Notre analyse initiale indique que l’ensemble de données comprend des informations extraites de LinkedIn ainsi que des informations obtenues à partir d’autres sources. Il ne s’agissait pas d’une fuite de données LinkedIn et notre enquête a déterminé qu’aucune donnée privée de membre LinkedIn n’a été exposée. Le scraping des données de LinkedIn est une violation de nos conditions d’utilisation et nous travaillons constamment pour garantir la protection de la vie privée de nos membres ». En d’autres termes, LinkedIn explique n’avoir constaté aucune brèche de sa sécurité et penche plutôt pour des données récupérées grâce à la technique du “scraping”, qui consiste à extraire le contenu public d’un site web de manière automatisée. Mais LinkedIn ne considère pas cet événement comme une fuite de données ou un incident de sécurité.
Comique de répétition
Si l’histoire a un goût de déjà-vu, c’est tout à fait normal : en début d’année, Facebook, LinkedIn et d’autres réseaux sociaux s’étaient déjà retrouvés au centre d’une polémique similaire, et des archives contenant les données de plusieurs millions d’utilisateurs avaient été agrégées et revendues sur ce même forum. Les autorités de protection des données de plusieurs pays s’en étaient émues et l’autorité irlandaise avait annoncé en avril l’ouverture d’une enquête sur le cas de Facebook, afin de déterminer si la plateforme avait bien respecté ses obligations à l’égard du RGPD. Le problème se révèle en effet assez épineux : les données collectées ici sont bien des données personnelles au sens du RGPD. Mais la collecte de ces données par des moyens automatisés est une pratique courante, que certaines entreprises utilisent couramment.
LinkedIn rappelle bien que cette technique va à l’encontre de leurs conditions d’utilisations, mais la légalité de la pratique reste un sujet à éclaircir : le réseau social avait tenté de traîner en justice la société HiQ labs, qui avait recours au scraping pour récupérer les données de ses utilisateurs, mais avait été déboutée par la justice américaine en 2019. Mais la procédure est toujours en cours, relancée récemment par une décision de la Cour Suprême en faveur de LinkedIn. La collecte et la revente clandestines de ce genre de données paraissent donc difficiles à empêcher dans ce contexte. Facebook, de son côté, avait soutenu que ces extractions de données personnelles ne constituaient pas une « fuite de données » au sens du RGPD, et n’était donc pas obligé de signaler celles-ci aux autorités de régulation compétentes.
