Qu'est-ce que Lusha, ce service controversé qui affiche les numéros de portable d'internautes français

Obtenir un numéro de portable ou un email en un claquement de doigts. Depuis plusieurs années, l'entreprise américaine Lusha propose une extension de navigateur Chrome qui permet d'obtenir des informations en théorie non divulguées en visitant un profil LinkedIn. Des données sensibles fournies par ses soins (et non par le réseau social professionnel), grâce à la collecte massive d'informations en ligne.

Ce service, qui n'est d'ailleurs plus seul sur ce créneau, utilise en réalité les données recueillies discrètement sur des applications éditées par des filiales de Lusha (les applications "Simpler", "Mailbook" et "Cleaner Pro" (qui ne sont plus disponibles en France depuis août 2022) et en scannant le Web. Discrètement, elle utilise donc ces données pour son service payant de mise à disposition des numéros et emails.

En 2018, le site NextINpact avait réussi à obtenir des numéros de téléphones authentiques du secrétaire d'Etat du Numérique de l'époque, Mounir Mahjoubi, ainsi qu'un numéro de téléphone renvoyant à un répondeur du Premier ministre Edouard Philippe (sans pour autant authentifier le contact avec certitude). Les plaintes s'étaient alors multipliées en France auprès de la CNIL.

Rien à redire selon la CNIL

Sur son site, Lusha assure pourtant être en conformité avec le RGPD et ne collecter que "le strict minimum de données" en dévoilant des informations "qui se trouvent généralement dans une signature électronique ou sur une carte de visite." Mieux, Lusha assure informer les contacts de la collecte de leurs données. L'entreprise n'a toutefois jamais souhaité dévoiler l'origine des données collectées.

Pourtant, la CNIL reconnait, dans une délibération de décembre 2022, son impuissance: le RGPD, qui encadre le traitement des données personnelles sur le territoire de l’Union européenne, ne s'applique pas pour Lusha.

Il faudrait pour cela que l'entreprise américaine dispose d'un établissement dans l'UE (ce qui n'est pas son cas). Pour les sociétés extra-européennes, le RGPD ne s'applique que dans des cas précis notamment lorsque cela implique un suivi de comportement. Pour la CNIL, ce n'est pas le cas dans cette affaire bien que cette décision ait fait polémique.

Un trou dans la raquette, pour le député Renaissance Éric Bothorel, très engagé sur les questions numériques. Comme le révèle L'informé, un amendement pour combler la brèche a été déposé au sein du projet de loi "Sécuriser et réguler l'espace numérique" qui arrive la semaine prochaine à l'Assemblée nationale.

Il propose ainsi deux conditions cumulatives pour une application du RGPD: que la collecte de données ait été effectuée auprès de résidents français et qu'elle ait été faite dans l'intention d'être mise à disposition de tiers. En attendant son examen, Lusha continue d'être largement utilisé.