Qu’est-ce que « Locha », ce service controversé qui affiche les numéros de téléphone portable des internautes français
Obtenez un numéro de mobile ou un e-mail en un clin d’œil. Depuis plusieurs années, la société américaine Lusha propose une extension pour le navigateur Chrome qui permet d’obtenir des informations théoriquement non publiques en visitant un profil LinkedIn. Les données sensibles sont fournies par vous (et non par le réseau social professionnel), grâce à la vaste collecte d’informations en ligne.
Ce service, qui n’est plus seul dans ce domaine, utilise en effet des données collectées secrètement sur les applications éditées par les filiales de Lusha (applications « Simpler », « Mailbook » et « Cleaner Pro » (qui depuis ne sont plus disponibles en France).) (août 2022) et en parcourant le Web. Par conséquent, ces données sont utilisées secrètement dans son service payant pour fournir des numéros et des e-mails.
En 2018, NextINpact a pu obtenir les véritables numéros de téléphone de Mounir Mahjoubi, alors ministre d’État chargé du Numérique, ainsi qu’un numéro de téléphone renvoyant au répondeur du Premier ministre Edouard Philippe (mais sans confirmer la connexion). ). Puis les plaintes se sont multipliées en France auprès de la CNIL.
Il n’y a rien à redire selon la CNIL
Lusha souligne cependant sur son site qu’elle se conforme au RGPD et ne collecte qu’« un strict minimum de données » en divulguant des informations « que l’on trouve généralement dans une signature électronique ou sur une carte de visite ». Mieux encore, Lusha veille à ce que ses contacts soient informés de leur collecte de données. Cependant, l’entreprise n’a jamais voulu révéler l’origine des données collectées.
Pourtant, lors de ses délibérations en décembre 2022, la CNIL a reconnu son impuissance : le Règlement général sur la protection des données, qui encadre les traitements de données personnelles sur le territoire de l’Union européenne, ne s’applique pas à Lusha.
Pour que cela se produise, il faudrait que l’entreprise américaine soit implantée dans l’UE (ce qui n’est pas le cas). Pour les entreprises non européennes, le RGPD ne s’applique que dans des cas précis, notamment en matière de surveillance comportementale. Pour la CNIL, ce n’est pas le cas dans cette affaire même si cette décision a fait polémique.
Un trou dans la chauve-souris, pour le député Renaissance Eric Bothorill, très engagé sur les questions numériques. Comme révélé L’initiéUn amendement a été proposé pour combler le vide du projet de loi « Sécurisation et régulation de l’espace numérique », qui arrive la semaine prochaine à l’Assemblée nationale.
Elle propose donc deux conditions cumulatives pour l’application du RGPD : que les données soient collectées auprès des résidents français et que cela se fasse dans le but de les mettre à disposition de tiers. En attendant son examen, Lusha continue d’être largement utilisé.
