En décembre 2024, la CNIL avait sanctionné Kaspr, une société proposant un outil de prospection commerciale. Un peu plus d'un an plus tard, le 4 mars 2026, l'autorité annonce la clôture de cette injonction. Concrètement ? L'entreprise a corrigé ses pratiques et s'est mise en conformité avec le RGPD.
Cette affaire illustre bien le fonctionnement des sanctions de la CNIL : elles ne sont pas uniquement punitives, elles visent d'abord à faire évoluer les pratiques. Quand une entreprise joue le jeu, l'injonction peut être levée. Mais de quoi parlait-on exactement ?
Kaspr : un outil prisé pour la prospection LinkedIn
Si vous travaillez dans le commerce, le recrutement ou le marketing, vous connaissez peut-être Kaspr. C'est une extension de navigateur qui permet d'extraire automatiquement les coordonnées professionnelles (email, téléphone) de profils LinkedIn. Très pratique pour constituer rapidement un fichier de prospects.
L'outil est populaire parce qu'il fait gagner du temps : plus besoin de copier-coller manuellement les informations, tout se fait en un clic. De nombreuses TPE et PME l'utilisent pour leur développement commercial. Mais justement, cette facilité posait question.
Le problème soulevé par la CNIL
En décembre 2024, la CNIL avait identifié des manquements aux règles de protection des données personnelles. Sans entrer dans les détails techniques, l'autorité avait estimé que Kaspr ne respectait pas pleinement le RGPD dans ses pratiques de collecte et de traitement.
Les injonctions de la CNIL imposent généralement de :
- Mieux informer les utilisateurs sur l'usage de leurs données
- Obtenir un consentement clair et explicite
- Permettre l'exercice effectif des droits (accès, suppression, opposition)
- Sécuriser correctement les données collectées
Dans le cas de Kaspr, l'entreprise a manifestement pris les mesures nécessaires pour corriger ces points, d'où la clôture de l'injonction.
- Une injonction clôturée ne signifie pas une innocence proclamée — simplement que les corrections demandées ont été effectuées
- Si vous utilisez Kaspr ou un outil similaire, vérifiez que vous respectez aussi le RGPD : collecter des données professionnelles ne dispense pas d'obligations légales
- Les personnes prospectées via ces outils ont le droit de s'opposer au démarchage et de demander la suppression de leurs données
Avant d'automatiser votre prospection, posez-vous cette question : si quelqu'un faisait la même chose avec mes données, comment je réagirais ? L'hygiène numérique, c'est aussi appliquer aux autres ce qu'on aimerait pour soi.