LinkedIn a été contraint de suspendre, en Europe, une fonctionnalité qui envoyait par e-mail aux membres les articles où ils étaient « mentionnés dans les nouvelles ».
Cette marche arrière s’explique par une série de signalements sur la protection des données. L’algorithme du réseau professionnel a attribué à tort des articles à certains membres, sans rapport avec eux, provoquant une enquête rapide et la suspension de la fonctionnalité.
Le sujet a été ouvertement abordé dans la section supervisant les multinationales technologiques du dernier rapport annuel publié par la Commission irlandaise de protection des données (DPC). Même si LinkedIn n’est pas cité explicitement, les éléments et les confirmations recoupées ne laissent guère de place au doute.
Selon les autorités, deux plaintes précises visaient une plateforme de réseautage qui associait de manière erronée des membres à des contenus de presse, alors qu’ils n’avaient aucun lien avec ceux-ci.
Dans un cas concret, LinkedIn a relayé à tout le réseau professionnel d’un utilisateur un article évoquant la vie privée et la carrière d’une autre personne partageant seulement le même nom. Devant l’absence de prise en charge correcte de cette confusion, l’utilisateur s’est tourné vers le régulateur.
Les répercussions ne se sont pas fait attendre : selon le dossier déposé, l’image professionnelle de la victime s’est trouvée directement affectée, au point d’entraîner la perte de contrats pour son entreprise.
Autre situation, autre dommage : la seconde plainte décrit la mise en avant d’un article qui portait un réel préjudice à l’avenir professionnel du membre, sans qu’aucune vérification n’ait été réalisée sur la validité de l’association.
On touche là à un dysfonctionnement récurrent : LinkedIn se contente d’associer automatiquement les noms, ignorant le risque de confusion pour tous ceux qui partagent un patronyme courant.
Le tableau est sans ambiguïté : une simple correspondance sur le nom ne garantit ni exactitude, ni respect de la vie privée. Le régulateur souligne que cette fonctionnalité soulève des questions de conformité, de légalité, d’équité et de précision dans l’usage des données personnelles.
Après ces plaintes et l’intervention du régulateur, LinkedIn a décidé de suspendre l’envoi automatique de ces notifications à tous ses membres européens, le temps de revoir le processus et de renforcer les garanties offertes en matière de données personnelles.
Sollicitée à ce sujet, la plateforme indique mettre en pause temporairement l’option afin de réexaminer son efficacité et d’en évaluer le fonctionnement, menant en parallèle un audit complet de sa fiabilité.
La société assure également qu’elle recueille actuellement les retours des membres pour ajuster et améliorer le dispositif, notamment sur la pertinence des notifications et la justesse des associations opérées par ses algorithmes.
Un espace d’information dédié permet de mieux comprendre le fonctionnement des mentions dans les nouvelles ainsi que la gestion des notifications par courrier électronique.
Ce n’est pas la première alerte envoyée au géant californien pour sa gestion des données en Europe.
À la fin 2018, lors d’un rapport publié avant l’adoption du RGPD, la DPC avait déjà examiné plusieurs griefs contre LinkedIn concernant cette fois des personnes qui n’utilisaient pas la plateforme mais recevaient pourtant des sollicitations promotionnelles.
Les conclusions mettaient en lumière une pratique contestable : LinkedIn avait constitué une base de 18 millions d’adresses e-mail sans autorisation, utilisée dans le cadre de ses campagnes publicitaires. Confrontée à la pression du régulateur, l’entreprise s’est alors engagée à y mettre fin complètement.
La plainte a continué de faire bouger les lignes. Une vérification supplémentaire menée par la DPC a révélé que LinkedIn exploitait aussi la structure de ses réseaux afin de créer des suggestions de connexions à destination de non-inscrits, à partir de leurs données sans consentement.
Face à cette découverte, le gendarme irlandais a imposé l’arrêt de ces traitements automatisés pour les internautes non membres et ordonné l’effacement de toutes les données collectées précédant le RGPD.
LinkedIn explique avoir pris acte de ces remarques et modifié de sa propre initiative ses pratiques pour s’aligner sur les exigences du DPC.
L’entreprise a aussi été pointée du doigt pour avoir utilisé ces adresses e-mail issues de non-membres dans des opérations publicitaires sur Facebook, accentuant les interrogations autour de ses méthodes.
Dans ce climat, LinkedIn ne peut plus se permettre l’à-peu-près. L’heure est désormais à la responsabilité et à la transparence. Même les mastodontes du numérique doivent désormais s’adapter, sous la vigilance des citoyens et des régulateurs, impossible d’y échapper indéfiniment.
