Une société européenne vendant des extensions de navigateur exploitant les données de LinkedIn accuse l’unité Microsoft d’utiliser ses données pour identifier des convictions religieuses et politiques et de vendre ces informations à des tiers.
Grâce aux plus d’un milliard d’utilisateurs professionnels de LinkedIn, l’unité Microsoft a accès à une vaste gamme d’informations personnellement identifiables, y compris des données susceptibles d’identifier des positions religieuses et politiques. Ce qui est moins clair, c’est ce que LinkedIn fait avec toutes ces données.
Une petite entreprise européenne qui vend une extension de navigateur pour exploiter différents aspects des données LinkedIn mène une campagne, qu’elle appelle BrowserGate, qui accuse LinkedIn de « fouiller illégalement votre ordinateur » et de « mener l’une des plus grandes opérations d’espionnage industriel de l’histoire moderne ».
« Chaque fois qu’un milliard d’utilisateurs de LinkedIn visite linkedin.com, un code caché recherche sur son ordinateur les logiciels installés, collecte les résultats et les transmet aux serveurs de LinkedIn et à des sociétés tierces, notamment une société de cybersécurité américano-israélienne », a affirmé la société.
« On ne demande jamais à l’utilisateur. On ne lui dit jamais. La politique de confidentialité de LinkedIn ne le mentionne pas », précise le site BrowserGate. « Comme LinkedIn connaît le vrai nom, l’employeur et le titre du poste de chaque utilisateur, il ne recherche pas de visiteurs anonymes. Il recherche des personnes identifiées dans des entreprises identifiées. »
LinkedIn nie certaines de ces accusations et évite de répondre aux autres.
Lorsqu’on lui a demandé s’il utilisait ces données pour faire ces choses, LinkedIn n’a pas répondu.
Utilisation abusive possible
La personne clé derrière ces allégations se fait appeler Steven Morrell (ce n’est pas son nom légal, qu’il a demandé à ne pas publier). L’entreprise qu’il représente porte également différents noms, dont Teamfluence et Fairlinked.
Morrell a déclaré que LinkedIn recueillait des données comprenant des détails sensibles, y compris des informations qui, selon lui, pourraient être utilisées pour déterminer les tendances religieuses et politiques. La collecte de telles données, a déclaré Morrell, pourrait violer les règles européennes en matière de confidentialité.
Mais Morrell ne dit pas que LinkedIn utilise réellement les données pour déterminer ces préférences, mais simplement qu’il le pourrait. On pourrait en dire autant de presque toutes les grandes entreprises.
Cependant, Morell n’est pas vraiment impartial. Lui et LinkedIn sont également impliqués dans un litige en Allemagne, dans lequel Morrell a déclaré que LinkedIn avait violé les règles de l’UE et qu’il l’avait expulsé, ainsi que d’autres, du service de manière inappropriée.
LinkedIn a rétorqué que Morell et les autres plaignants avaient violé ses conditions d’utilisation avec leurs plugins. Le mois dernier, un juge de Munich s’est rangé du côté de LinkedIn, rejetant la requête en injonction préliminaire.
Peut entraîner des problèmes de conformité
Safayat Moahamad, directeur de recherche chez Info-Tech Research Group, a déclaré que les approches de conformité dans l’ensemble de l’Union européenne et au Royaume-Uni pourraient en effet rencontrer des problèmes avec un niveau de collecte de données aussi approfondi.
« Les tribunaux européens sont susceptibles de soutenir les plateformes qui restreignent la collecte automatisée de données, lorsqu’ils peuvent de manière plausible lier les mesures d’application des politiques au niveau de l’organisation à la protection des consommateurs et au respect de la réglementation », a déclaré Moahamad.
Conseils aux DSI
Le consultant en cybersécurité Brian Levine, directeur exécutif de FormerGov, a déclaré que les DSI des entreprises devraient utiliser ces allégations, même si elles s’avèrent fausses, pour les aider à peaufiner leur stratégie de données et leurs politiques de confidentialité pour 2026.
« En supposant que les allégations de BrowserGate soient vraies, les utilisateurs de LinkedIn devraient envisager de réduire la quantité de données identifiables, traçables ou sensibles exposées par leur navigateur, et les organisations devraient traiter LinkedIn comme un environnement Web potentiellement hostile jusqu’à ce que les faits soient vérifiés », a déclaré Levine. « Même si BrowserGate est exagéré, les empreintes digitales du navigateur sont une pratique réelle et répandue sur le Web. Traitez LinkedIn comme n’importe quel autre collecteur de données tiers. LinkedIn a toujours été traité comme sûr, (mais) cette hypothèse devra peut-être être revue. »
Levine a déclaré que les responsables informatiques devraient « supposer que LinkedIn peut cartographier votre pile technologique » et que, si les affirmations sont exactes, LinkedIn pourrait en déduire « quels outils SaaS vos employés utilisent, sur quels concurrents vous comptez, quels outils de recherche d’emploi votre personnel utilise et quelles extensions politiques/religieuses apparaissent au sein de votre personnel ».
Il a ajouté que le service informatique devrait envisager de bloquer LinkedIn sur les réseaux sensibles, ou exiger qu’il soit accessible uniquement via VDI, ainsi que d’utiliser des techniques d’isolation du navigateur. Certaines entreprises pourraient même souhaiter utiliser un navigateur isolé distinct uniquement pour LinkedIn ou, a-t-il déclaré, « utiliser une session de navigateur en bac à sable, comme Browserling ou d’autres navigateurs isolés dans le cloud ».
