Le gendarme italien de la protection des données confirme que l’enquête visant Lusha Systems se poursuit. Cette société américaine, connue pour commercialiser des bases de contacts professionnels (e‑mails, numéros de téléphone) destinées aux équipes commerciales et marketing, est au centre d’un soupçon majeur : des données personnelles d’utilisateurs italiens — y compris celles de personnalités de premier plan — auraient été collectées et répertoriées sans base juridique claire.
Comment l’affaire a éclaté
Les investigations ont été déclenchées début avril après la découverte, sur la plateforme de Lusha, de numéros de téléphone attribués à des citoyens italiens, parmi lesquels figuraient des contacts liés au Président de la République et à la cheffe du gouvernement. Ces révélations ont provoqué des signalements auprès du Garante per la protezione dei dati personali (le régulateur italien), qui a ouvert une instruction destinée à faire la lumière sur la provenance des fichiers et sur les pratiques de la société.
Scraping et sources douteuses : les points de vigilance
Les premières vérifications semblent pointer vers des pratiques de « scraping » — c’est‑à‑dire l’extraction automatique d’informations publiquement accessibles sur des sites d’entreprises, des profils LinkedIn ou d’autres sources en ligne. Le Garante suspecte que Lusha assemble ces éléments pour fournir ensuite, à ses clients, des répertoires de contacts dont la traçabilité et la légalité posent question.
Un élément particulièrement sensible découvert lors des constats préliminaires est la manière dont Lusha répartit les responsabilités : la plateforme renvoie fréquemment la charge de la conformité au Règlement général sur la protection des données (RGPD) vers ses clients finaux. Sur son site, Lusha indique que les « vendeurs » tiers doivent confirmer qu’ils respectent les lois locales en matière de protection des données. Le régulateur italien interroge précisément cette logique contractuelle — une simple clause déclarative suffit‑elle à déléguer la conformité ?
Des données de personnalités publiques et de responsables publics
Le Garante a par ailleurs relevé que Lusha rend disponible, parmi ses jeux de données, des coordonnées de personnes occupant des postes institutionnels ou des figures publiques. Si l’accès à certaines informations publiques peut être légitime, leur agglomération et leur commercialisation à grande échelle soulèvent des questions juridiques et déontologiques, notamment quant à la finalité du traitement et aux droits d’opposition ou de suppression des personnes concernées.
Procédure administrative et temporalité
Le 8 avril, le Garante a officiellement demandé des éclaircissements à Lusha, notamment sur les méthodes d’acquisition des données. Un délai de 20 jours avait été fixé pour répondre. À ce jour, et contrairement à des informations parues dans certains médias, l’autorité précise que la procédure n’a jamais été interrompue : l’enquête administrative se poursuit, avec collecte d’éléments et éventuelle mise en cause d’autres acteurs du marché proposant des services comparables.
Surveillance élargie et contrôle des plateformes similaires
Au‑delà du cas Lusha, le gendarme italien indique qu’il « surveille » d’autres plateformes fournissant des bases de contacts afin d’évaluer si des traitements analogues ont été réalisés sans base légale appropriée. L’enjeu est double : d’une part, protéger les droits fondamentaux des citoyens au regard du RGPD ; d’autre part, définir clairement les responsabilités entre l’opérateur de la plateforme et ses clients qui exploitent les données.
Quelles infractions possibles et quelles sanctions ?
Si les investigations établissent l’absence de fondement juridique pour la collecte ou la mise à disposition des données, plusieurs conséquences sont possibles : injonctions pour suspendre les traitements, ordres de suppression des données, notifications aux personnes concernées et, le cas échéant, sanctions financières prévues par le RGPD. Par ailleurs, les entreprises utilisatrices des fichiers pourraient aussi voir leur responsabilité engagée si elles n’ont pas vérifié l’origine et la licéité des données qu’elles achètent ou réutilisent.
Un débat juridique et éthique plus vaste
Cette affaire nourrit un débat essentiel sur la chaîne de valeur des données personnelles : à qui incombe la charge de s’assurer que des fichiers achetés ou loués proviennent de traitements conformes ? Les pratiques commerciales fondées sur l’agrégation massive d’informations publiques doivent‑elles être encadrées plus strictement, voire limitées, pour préserver les droits individuels ? Le cas Lusha illustre la difficulté de concilier modèles d’affaires basés sur la donnée et exigences de transparence et de proportionnalité imposées par le droit européen.
Que peuvent faire les personnes concernées ?
Enjeux pour les entreprises et prospects
Pour les services commerciaux et de marketing, l’épisode rappelle qu’une stratégie basée sur la qualité et la légalité des leads est préférable à l’achat massif de bases « prêtes à l’emploi ». Outre le risque juridique, l’exploitation de données de provenance douteuse expose les organisations à un risque réputationnel non négligeable.
L’instruction en cours devra établir avec précision la chaîne de collecte et d’exploitation des données, et déterminer si Lusha ou ses clients ont violé les obligations imposées par le RGPD. Les conclusions de cette enquête auront sans doute des répercussions sur l’ensemble du marché des fournisseurs de données professionnelles et pourraient conduire les autorités européennes à préciser davantage les obligations des plateformes qui commercialisent ce type d’informations.