L'autorité nous révèle scruter les activités de Lusha. Cette extension fournit des coordonnées d'internautes en visitant leur profil LinkedIn ou Twitter. La société, qui se prétend conforme au RGPD, collecte des données de sources publiques et privées. Interrogée, elle refuse de nous les détailler.

Mais d'où viennent ces données, et quels sont les recours ?

Passés cinq profils consultés, sur LinkedIn, Twitter ou Salesforce, l'accès aux coordonnées devient payant. Il en coûtera au moins 300 dollars par an, pour 30 consultations mensuelles. Le service est cependant déjà sous le regard de la CNIL. « Un contrôle a été effectué concernant cette entreprise, les suites sont en cours d’instruction. En l’absence d’établissement sur le territoire français, une mesure de coopération internationale est envisagée » nous déclare l'autorité.

Sur la fiche LinkedIn du Premier ministre, Édouard Philippe, cet internaute a obtenu une adresse email et deux numéros de téléphone. Et selon nos tests, le répondeur du numéro mobile appartient bien à l'intéréssé. Mieux : sur sept autres essais, concernant notamment Mounir Mahjoubi et trois responsables des affaires publiques d'entreprises, cinq se sont avérés concluants. Trois ont même présenté des numéros de mobile.

Inscrivez-vous, installez l'extension navigateur puis allez sur n'importe quel profil LinkedIn pour obtenir ses numéros et adresses email. C'est la promesse de Lusha, un service signalé sur Twitter par @Paingout qui pensait un temps à une faille de LinkedIn. En réalité, Lusha a été taillé pour afficher les coordonnées de personnes physiques en complétant les profils du réseau professionnel avec ses propres données.

En apparence, la société américaine, siégée à New York, semble prendre la mesure de la sensibilité de son activité. Elle présente trois pages sur la confidentialité : « Vos données », une politique de vie privée et une page pour le Règlement général sur la protection des données (RGPD).

Pour placarder ces précieuses données, elle déclare regrouper « des sources disponibles publiquement » et des données obtenues « via des partenaires commerciaux qui contribuent à la communauté Lusha ». En sus, des adresses email sont devinées via les modèles habituels des entreprises. Aucun détail n'est fourni sur ces sources. L'entreprise déclare en outre ne collecter que les coordonnées professionnelles.

Les données publiques incluent « celles disponibles sur Internet via une simple recherche Google ». La formule est innocente mais la méthode peut aller très loin, via le Google dorking, c'est-à-dire des requêtes extrêmement précises permettant de pêcher des documents laissés en ligne par inadvertance.

L'entreprise assure également qu'aucune donnée des clients interrogeant sa base, inscrits directement ou passant par des tiers, n'est incluse. Elle déclare aussi ne jamais fournir ses données en masse, mais seulement au cas par cas, à la consultation d'un profil concerné.

Nous avons néanmoins demandé à l'éditeur d'où proviennent ces fameuses informations, quelles sont ses sources « publiquement disponibles » et les garanties offertes quant au consentement des internautes.

La société s'est contentée de nous renvoyer vers sa documentation officielle, même après relance. « Comme vous le comprenez sûrement, en tant que société commerciale, Lusha ne peut pas révéler des informations si proches de son activité » a-t-elle conclu en guise de fin de non-recevoir.

Contacté, LinkedIn nous assure ignorer la provenance des données. Aucune information en possession de Lusha ne provient de LinkedIn, jure la société.

Un service via Gmail indiscret

Lusha fournit également un service sur Gmail, qui lui permet au passage d'accéder à l'ensemble des données d'une boite email. Les conditions d'utilisation révèlent qu'en acceptant de connecter son compte Gmail, le service « ajoutera automatiquement les informations des contacts à la Lusha Database ».

Bien entendu, l'application est révocable via les paramètres du compte Google, comme toutes les autres. Notons que cette fonctionnalité pourrait disparaître l'an prochain. Le groupe californien vient d'annoncer un tour de vis sur les applications tierces, n'acceptant plus que celles ayant directement trait au traitement d'emails dès février.

L'intérêt légitime à la collecte

Concernant le RGPD, qui menace les indélicats d'une amende jusqu'à 4 % du chiffre d'affaires mondial, Lusha se conforme au moins dans la forme. Pour la collecte et le traitement des données personnelles, la société invoque en effet « l'intérêt légitime » à fournir un tel service.

Sur six bases de traitement, qui autorisent le malaxage des informations personnelles, c'est la plus permissive. L'intérêt légitime est une véritable carte joker, utilisée par les sociétés souhaitant esquiver le consentement préalable des internautes à la collecte et de leurs données.

En parallèle, les données peuvent sortir de l'Union européenne, notamment aux États-Unis avec le Privacy Shield. Un accord contesté par le Parlement européen.

Enfin, Lusha référence une adresse à Hambourg, en Allemagne, comme établissement européen.

Une rectification possible, mais pas de traçabilité

Pour se protéger, Lusha met en évidence de nombreux liens vers sa page de désinscription de sa base de données. Il est donc possible, via un formulaire, de retirer ses données du service.

Pour autant, elle se réserve le droit de masquer la provenance de ces informations. « Lorsque possible, nous sommes heureux de fournir aux sujets des traitements la source exacte des données associées. Mais, dans certains cas, pour des raisons techniques, localiser la source des données est impossible ou demande un effort disproportionné » écrit l'entreprise sur la page « Vos données ». Autrement dit, aucune traçabilité n'est garantie.

L'instruction par la CNIL, sur laquelle nous n'avons pas plus de détails, durera sûrement encore quelques mois. Il n'est pas certain que les conclusions soient publiques, une partie des procédures restant strictement confidentielles.