L'amende de 310 millions d'euros infligée à LinkedIn : comment une enquête RGPD de six ans a conduit à l'une des plus importantes décisions publicitaires de la DPC irlandaise

L'essentiel

Le 22 octobre 2024, la Commission irlandaise de protection des données (Data Protection Commission, DPC) a notifié à LinkedIn Ireland Unlimited Company une décision finale infligeant trois amendes administratives d'un montant total de 310 millions d'euros, accompagnées d'un blâme et d'une injonction de mise en conformité du traitement avec le RGPD. La décision portait sur le traitement par LinkedIn des données personnelles de ses membres à des fins d'analyse comportementale et de publicité ciblée. La DPC a constaté des manquements aux articles 5, paragraphe 1, sous a), 6, paragraphe 1, 13, paragraphe 1, sous c), et 14, paragraphe 1, sous c) du règlement général sur la protection des données. LinkedIn invoquait trois bases juridiques de l'article 6 : le consentement, la nécessité contractuelle et l'intérêt légitime. La DPC les a rejetées une par une. L'affaire trouve son origine en 28 mai 2018 avec une plainte de l'association française La Quadrature du Net déposée auprès de la CNIL au nom d'utilisateurs de LinkedIn ; 8 540 utilisateurs ont finalement été représentés dans l'enquête de la DPC. Six ans plus tard, elle aboutit à l'une des plus importantes sanctions RGPD prononcées par le régulateur irlandais en matière publicitaire. LinkedIn a engagé à la fois un appel statutaire et un recours en contrôle juridictionnel ; les constatations matérielles restent en vigueur pendant la procédure. La leçon de conformité dépasse largement les géants du numérique : elle concerne toute organisation qui exploite de la publicité comportementale ou de la personnalisation de contenu ciblée.

Les chiffres clés

310 M€ | Réseau social B2B | Big Tech (filiale Microsoft) | Commission irlandaise de protection des données | Décision notifiée le 22 octobre 2024.

Ce qui s'est passé : une enquête de six ans qui s'achève sur une sanction majeure

Le 28 mai 2018, l'association française La Quadrature du Net a déposé une plainte collective auprès de la Commission nationale de l'informatique et des libertés (CNIL). La procédure menée ensuite par la DPC irlandaise a finalement concerné 8 540 utilisateurs de LinkedIn. La plainte ciblait ce que l'association appelait le « modèle économique des GAFAM » : le couplage de l'accès à la plateforme avec l'acceptation obligatoire de l'analyse comportementale et de la publicité ciblée. La plainte attaquait en particulier les cases de consentement précochées, les clauses des conditions générales selon lesquelles la poursuite de l'utilisation du service valait acceptation du traitement des données, et l'absence d'un véritable choix pour les utilisateurs souhaitant employer le service sans être profilés à des fins publicitaires.

Le siège européen de LinkedIn se trouvant à Dublin, la CNIL a transmis la plainte à la DPC irlandaise dans le cadre du mécanisme du guichet unique prévu à l'article 56 du RGPD. La DPC est ainsi devenue autorité chef de file de l'enquête. L'instruction a duré plus de six ans. Le 22 octobre 2024, les commissaires à la protection des données — le Dr Des Hogan et Dale Sunderland — ont notifié à LinkedIn Ireland une décision finale. La DPC en a fait l'annonce publique le 24 octobre 2024. La décision comprend un blâme au titre de l'article 58, paragraphe 2, point b), du RGPD, trois amendes administratives totalisant 310 millions d'euros au titre des articles 58, paragraphe 2, point i), et 83 du RGPD, ainsi qu'une injonction au titre de l'article 58, paragraphe 2, point d), du RGPD imposant à LinkedIn de mettre son traitement en conformité.

Avant d'être finalisé, le projet de décision a été soumis en juillet 2024 au mécanisme de coopération de l'article 60 du RGPD. Cette procédure permet aux autres autorités concernées — celles dont les personnes concernées sont également affectées — de soulever des objections motivées au projet de l'autorité chef de file. Aucune objection n'a été soulevée. L'absence d'objections signifie qu'aucune autorité concernée n'a déclenché la procédure de règlement des litiges de l'article 65 ; elle ne vaut pas approbation formelle du montant par le CEPD.

Comment une plainte de 2018 a remodelé le droit européen de la publicité en ligne

La plainte de La Quadrature du Net n'a pas été déposée isolément. Le 28 mai 2018, trois jours après l'entrée en application du RGPD le 25 mai 2018, La Quadrature du Net a déposé cinq plaintes collectives coordonnées auprès de la CNIL — contre Facebook (aujourd'hui Meta), Google, Apple, Amazon et LinkedIn — signées par environ 12 000 personnes. Chaque plainte visait le même problème architectural : le couplage de l'accès aux plateformes avec l'acceptation obligatoire d'un traitement comportemental, l'usage de mécanismes de consentement précochés ou présumés, et l'absence de toute voie réelle de refus. La stratégie était délibérée. En lançant les cinq plaintes au tout début de l'ère RGPD, La Quadrature du Net créait un cas-test coordonné pour l'architecture du consentement et des bases juridiques du règlement, appliquée au modèle économique dominant de l'internet commercial.

Les premiers résultats de ces plaintes parallèles ont tracé le paysage juridique qui devait finir par rattraper LinkedIn. En janvier 2019, la CNIL a infligé à Google une amende de 50 millions d'euros — première grande sanction RGPD contre une plateforme des Big Tech — pour manquements à la licéité et à la transparence en matière de publicité personnalisée. En janvier 2023, la DPC irlandaise a sanctionné Meta de 390 millions d'euros (210 M€ pour Facebook et 180 M€ pour Instagram) sur le même fondement de la nécessité contractuelle au titre de l'article 6 que LinkedIn tenterait plus tard, sans succès, de défendre. En mai 2023, Meta a écopé d'une amende supplémentaire de 1,2 milliard d'euros pour des transferts transfrontaliers de données. Chaque décision a resserré l'interprétation. Lorsque la DPC irlandaise a rendu sa décision LinkedIn en octobre 2024, la jurisprudence de la CJUE et la pratique des autorités de contrôle avaient déjà rétréci le champ de l'article 6 : la nécessité contractuelle ne couvre pas la publicité comportementale sur un réseau social, et le consentement doit être véritablement granulaire et librement consenti. L'affaire LinkedIn est une nouvelle application de cette ligne, pas une décision inédite isolée.

Pour les organisations situées hors du secteur des plateformes, la conclusion pratique est que les questions juridiques ne sont plus ouvertes. La Cour de justice de l'Union européenne, dans son arrêt du 4 juillet 2023 dans l'affaire Meta Platforms contre Bundeskartellamt (C-252/21), a déjà confirmé que la condition « nécessaire à l'exécution d'un contrat » de l'article 6, paragraphe 1, sous b), s'interprète strictement, que le responsable du traitement supporte la charge de prouver la nécessité, et que la personnalisation à des fins de revenus publicitaires n'est pas une nécessité contractuelle. La CJUE a ainsi fermé la porte que LinkedIn et d'autres tentaient de maintenir ouverte. La décision LinkedIn applique cette fermeture.

La décision : quatre articles, trois bases juridiques rejetées

L'enquête de la DPC a examiné un seul flux opérationnel — le traitement des données personnelles des membres à des fins d'analyse comportementale et de publicité ciblée — au regard de l'ensemble du dispositif du RGPD relatif aux principes, à la base juridique et à la transparence. L'enquête a établi des manquements à quatre articles : articles 5, paragraphe 1, sous a), 6, paragraphe 1, 13, paragraphe 1, sous c), et 14, paragraphe 1, sous c), du RGPD. Dans un arrêt préliminaire rendu le 20 avril 2026 dans le recours de LinkedIn, la High Court irlandaise a jugé que la section 142 de la loi sur la protection des données de 2018 limite cette voie d'appel légale à la décision d'imposer l'amende elle-même ; les constatations sous-jacentes de manquement ne sont pas susceptibles d'appel au titre de la section 142 et restent en vigueur tant que la procédure plus large se poursuit.

Article 5, paragraphe 1, sous a) — le principe de licéité, loyauté et transparence

L'article 5 énonce les principes fondamentaux du RGPD. L'article 5, paragraphe 1, sous a), exige que les données personnelles soient « traitées de manière licite, loyale et transparente au regard de la personne concernée ». La DPC a constaté que le dispositif de publicité comportementale de LinkedIn enfreignait chacun de ces trois sous-principes. La licéité échouait parce qu'aucune base de l'article 6 ne soutenait le traitement. La transparence échouait parce que la politique de confidentialité n'identifiait pas adéquatement les bases juridiques invoquées. La loyauté échouait parce que les utilisateurs n'avaient pas de véritable possibilité de comprendre ou de refuser le traitement. La citation de la DPC résume directement le principe : « La licéité du traitement est un aspect fondamental du droit de la protection des données, et le traitement de données personnelles sans base juridique appropriée constitue une violation claire et grave du droit fondamental de la personne concernée à la protection des données. »

Article 6, paragraphe 1 — aucune des trois bases juridiques ne tenait

L'article 6, paragraphe 1, oblige le responsable du traitement à identifier une base juridique avant de procéder au traitement. LinkedIn en a invoqué trois : le consentement (article 6, paragraphe 1, sous a)), la nécessité contractuelle (article 6, paragraphe 1, sous b)) et l'intérêt légitime (article 6, paragraphe 1, sous f)). La DPC les a examinées une par une et a rejeté chacune d'elles.

Sur le consentement (article 6, paragraphe 1, sous a)) : la DPC a appliqué la norme définie à l'article 4, point 11, du RGPD — le consentement doit être « libre, spécifique, éclairé et univoque » — et a constaté que le dispositif de LinkedIn échouait sur les quatre critères. Les utilisateurs n'avaient pas de choix clair et granulaire entre l'usage de la plateforme avec publicité comportementale et son usage sans. Le parcours de consentement regroupait plusieurs finalités de traitement. L'information ne précisait pas aux utilisateurs quelle base juridique était invoquée pour quelle activité. L'opt-in actif pour l'analyse comportementale faisait défaut. Conclusion : le consentement ne pouvait pas, en droit, valider le traitement.

Sur la nécessité contractuelle (article 6, paragraphe 1, sous b)) : la DPC a suivi les lignes directrices du CEPD de 2019 relatives à l'article 6, paragraphe 1, sous b), dans le contexte des services en ligne. La publicité comportementale n'est pas « nécessaire » à l'exécution d'un contrat de réseau social ; elle est, au mieux, un choix commercial fait par le prestataire pour financer le service. Un utilisateur peut employer LinkedIn pour son usage principal — réseautage, recherche d'emploi, contenus — sans être profilé à des fins publicitaires. La nécessité fait défaut.

Sur l'intérêt légitime (article 6, paragraphe 1, sous f)) : la DPC a appliqué le test de mise en balance en trois étapes — identification de l'intérêt, appréciation de la nécessité, mise en balance avec les droits et libertés des personnes concernées. L'intérêt commercial de LinkedIn aux revenus de publicité comportementale est légitime à la première étape. La DPC a toutefois conclu que le traitement n'était pas strictement nécessaire à cet intérêt (des moyens moins intrusifs existent, notamment la publicité contextuelle) et qu'en balance, l'impact sur les droits des personnes concernées — y compris le droit à la protection des données consacré à l'article 8 de la Charte des droits fondamentaux de l'UE — l'emportait sur l'intérêt du responsable. L'intérêt légitime échoue au test de mise en balance.

Articles 13, paragraphe 1, sous c), et 14, paragraphe 1, sous c) — l'obligation de transparence n'a pas été remplie

Les articles 13 et 14 imposent au responsable du traitement de fournir aux personnes concernées des informations précises au moment de la collecte. Le sous-paragraphe (1)(c) de chacun de ces articles exige la communication des « finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ». La DPC a constaté que la politique de confidentialité de LinkedIn n'identifiait pas adéquatement, pour l'analyse comportementale et la publicité ciblée, quelle base juridique de l'article 6 était invoquée pour quelle finalité précise. Une politique de confidentialité qui se contente de dire « nous pouvons traiter vos données sur la base du consentement, du contrat ou de l'intérêt légitime » sans préciser quelle base correspond à quelle finalité enfreint l'article 13/14, paragraphe 1, sous c). L'obligation de transparence est granulaire : par finalité, par base juridique, en langage clair.

La réponse de LinkedIn, l'appel et l'état actuel de la procédure

LinkedIn a publié une brève déclaration officielle le 24 octobre 2024 : « Aujourd'hui, la Commission irlandaise de protection des données (IDPC) a rendu une décision finale sur des griefs remontant à 2018 concernant certaines de nos pratiques publicitaires numériques dans l'UE. Bien que nous estimions avoir été en conformité avec le règlement général sur la protection des données (RGPD), nous travaillons à mettre nos pratiques publicitaires en conformité avec cette décision dans le délai fixé par l'IDPC. » La déclaration ne reconnaissait aucun manquement et n'annonçait aucune mesure concrète.

LinkedIn a alors ouvert deux voies juridiques parallèles. Le 18 novembre 2024, l'entreprise a formé un appel statutaire au titre des sections 142 et 150 de la loi irlandaise sur la protection des données de 2018. Le 16 décembre 2024, la juge Mary Rose Gearty, de la High Court irlandaise, a accordé à LinkedIn l'autorisation d'engager un contrôle juridictionnel. Les moyens soulevés par LinkedIn comprennent des contestations constitutionnelles de la loi de 2018, des arguments selon lesquels l'amende de 310 millions d'euros est « de nature pénale ou criminelle » du fait de son ampleur et déclenche donc les garanties d'un procès équitable au titre de la Charte des droits fondamentaux et de la Convention européenne des droits de l'homme, et des contestations procédurales du processus décisionnel de la DPC. LinkedIn fait également valoir que « la DPC n'est pas un tribunal indépendant et impartial au sens de la Charte ».

La DPC a déposé son mémoire en défense le 25 février 2025. L'État irlandais a déposé le sien le 18 mars 2025. Le 20 avril 2026, la High Court a tranché des questions préliminaires — en particulier, elle a jugé que la section 142 de la loi de 2018 ne permet d'attaquer en appel que la décision d'imposer une amende, et non les constatations sous-jacentes de manquement ni l'exercice d'autres mesures correctrices telles que l'injonction de mise en conformité. Les constatations matérielles au titre du RGPD restent donc en vigueur pendant la procédure d'appel. Pour les organisations qui suivent cette affaire à des fins de conformité, l'appel est un contentieux portant sur le montant et la procédure — non sur l'analyse matérielle du consentement, de la base juridique et de la transparence.

Ce que LinkedIn aurait pu faire différemment — le cœur du dossier

La décision de la DPC n'est pas une curiosité technique entre un régulateur et un défendeur Big Tech. Elle constitue une démonstration méthodique de la manière dont un dispositif de publicité comportementale peut échouer simultanément sur chacune des bases juridiques de l'article 6, et de ce qu'aurait été une alternative conforme. Toute organisation qui exploite de la publicité comportementale — y compris les SaaS B2B qui utilisent un scoring d'account-based marketing, les e-commerçants qui personnalisent leurs recommandations produits et les éditeurs qui monétisent par de l'affichage ciblé — est exposée à la même analyse. Quatre couches de prévention auraient changé l'issue.

Couche 1 — le défaut d'architecture spécifique du parcours de consentement

Le parcours de consentement de LinkedIn présentait, selon l'analyse de la DPC, une logique « à prendre ou à laisser ». L'information sur les bases juridiques était générique — « consentement, contrat ou intérêt légitime » — au lieu d'être granulaire par finalité de traitement. L'opt-in actif pour l'analyse comportementale faisait défaut ; la plateforme s'appuyait sur une logique d'usage continu valant consentement. Il n'existait pas de chemin « Tout refuser » de proéminence visuelle équivalente au « Tout accepter » sur l'interface de recueil du consentement. Aucune de ces décisions de conception n'est propre à LinkedIn. Elles constituaient la norme du secteur en 2018 et restaient courantes au moment de l'enquête. Le point soulevé par la DPC est que le RGPD, depuis le 25 mai 2018, exige autre chose, et qu'une norme sectorielle ne devient pas licite parce qu'elle est répandue.

Couche 2 — le contrôle technique qui l'aurait empêchée

L'alternative conforme est bien définie. Une Consent Management Platform (CMP) granulaire dotée de cases d'opt-in distinctes et également proéminentes pour chaque finalité de traitement — affichage des données de profil, inférence comportementale, publicité ciblée, combinaison avec des données tierces — satisfait au critère de spécificité de l'article 4, point 11. Un chemin « Tout refuser » fonctionnel et de même proéminence visuelle que « Tout accepter » répond au critère « libre ». Le positionnement par défaut sur « désactivé » de toutes les cases d'analyse comportementale, avec un opt-in actif explicite, répond au critère « univoque ». Un journal de consentement par finalité, récupérable sur demande de la personne concernée, horodaté et versionné avec l'information affichée au moment du recueil, satisfait au critère « éclairé ». Rien de tout cela ne relève d'une ingénierie exotique. Les frameworks open-source de CMP le permettent ; les principaux éditeurs commerciaux de CMP en font la publicité. Le coût de mise en œuvre d'une CMP conforme pour une organisation de la taille de LinkedIn se situe entre 500 000 € et 2 M€, plus le coût opérationnel annuel. Pour une PME, le coût de la même architecture se situe entre 5 000 € et 50 000 €.

Couche 3 — le contrôle organisationnel qui l'aurait détectée

Une analyse d'impact relative à la protection des données (AIPD) au titre de l'article 35 du RGPD est obligatoire avant la mise en œuvre d'un traitement à haut risque — et la publicité comportementale à grande échelle constitue, selon toute interprétation raisonnable, un traitement à haut risque comportant une surveillance systématique au sens de l'article 35, paragraphe 3, sous b). Une AIPD réalisée avant déploiement, signée par le délégué à la protection des données et examinée au regard de l'analyse de la base juridique finalité par finalité, aurait fait apparaître le défaut d'architecture du consentement. Un examen trimestriel documenté des indicateurs de qualité du consentement — taux d'opt-in par finalité, taux de refus, taux de retrait, volume de plaintes — aurait fait remonter le sujet au niveau exécutif bien avant l'ouverture d'une enquête. Un visa clair du DPO sur la politique de confidentialité, à partir d'une check-list des exigences de l'article 13/14, paragraphe 1, sous c), aurait détecté la formulation générique « consentement, contrat ou intérêt légitime ». Chacun de ces contrôles relève de la simple hygiène de gouvernance dans un programme RGPD mature.

Couche 4 — coût contre amende : le calcul tranche le débat

La DPC a infligé 310 millions d'euros d'amendes administratives, qui restent soumises à l'appel de LinkedIn, et LinkedIn fait également face au coût de la mise en conformité ordonnée par la DPC. Le coût de la prévention — une CMP conforme, un processus AIPD, des audits récurrents de la qualité du consentement, le temps DPO consacré à la politique de confidentialité — aurait représenté entre 500 000 € et 2 M€ pour une organisation de la taille de LinkedIn. Le ratio est de l'ordre de 150 à 600 fois le coût de prévention. Pour une PME, les ordres de grandeur diffèrent, mais la logique est identique : la prévention se situe typiquement entre 5 000 € et 50 000 €; les amendes comparables dans la tranche PME (où les autorités modulent les sanctions selon la taille) se situent généralement entre 100 000 € et 2 M€. Le calcul est écrasant à toutes les tailles. La question pour tout responsable conformité n'est pas de savoir si la prévention vaut l'investissement, mais si l'organisation agira avant ou après le régulateur.

Vous voulez savoir si votre organisation est exposée comme l'était LinkedIn ? Réalisez le diagnostic gratuit de 10 minutes de Viktoria Compliance → Il met votre posture actuelle en publicité comportementale et en bases juridiques en regard des articles du RGPD que la DPC irlandaise a effectivement appliqués dans cette décision, et identifie les écarts qu'un régulateur trouverait en premier.

Leçon sectorielle : qui est aujourd'hui exposé

La décision LinkedIn est l'une des sanctions RGPD les plus élevées prononcées par la DPC irlandaise en matière publicitaire, mais elle n'est pas isolée. Elle appartient à une trajectoire d'application claire, accélérée depuis 2022, dans laquelle la DPC irlandaise et d'autres autorités chefs de file ont systématiquement démantelé les arguments de base juridique des plateformes pratiquant la publicité comportementale. Les amendes infligées à Meta en janvier 2023 (210 M€ pour Facebook et 180 M€ pour Instagram pour des défauts similaires de base juridique sur la publicité personnalisée), l'amende de 345 M€ infligée à TikTok en septembre 2023 (données des enfants et transparence) et l'amende de 290 M€ infligée à Uber en août 2024 par l'autorité néerlandaise de protection des données (transferts illégaux des données de chauffeurs vers les États-Unis au titre du chapitre V du RGPD) s'inscrivent toutes dans la même séquence. La décision LinkedIn est le point de données le plus récent, pas le premier.

L'exposition ne se limite pas aux réseaux sociaux ni aux Big Tech. Trois catégories d'organisations sont particulièrement exposées au risque de reproduire la posture juridique de LinkedIn. Premièrement, les SaaS B2B qui déploient des plateformes d'account-based marketing, des systèmes de scoring comportemental ou des modèles de priorisation de leads. L'analyse de la base juridique est identique : qui profile des personnes physiques de l'UE (décideurs au sein des comptes cibles) doit disposer d'une base claire au titre de l'article 6 pour le profilage, et pas seulement pour la fiche CRM sous-jacente. Deuxièmement, les e-commerçants qui personnalisent leurs recommandations, leurs prix dynamiques ou leur reciblage à partir du comportement sur leur site combiné à des données tierces. Troisièmement, les éditeurs et organisations médiatiques qui monétisent par publicité programmatique — la décision de l'autorité belge contre IAB Europe (2 février 2022) et l'arrêt de la CJUE qui l'a suivie dans IAB Europe contre Gegevensbeschermingsautoriteit (C-604/22, 7 mars 2024) ont déjà établi que le signal TCF constitue une donnée personnelle, qu'IAB Europe est un responsable conjoint et que le consentement recueilli via une bannière TCF seule peut ne pas satisfaire au RGPD. Tout éditeur exploitant le TCF doit lire la décision LinkedIn comme un avertissement : la patience du régulateur est épuisée.

Le lien avec les bandeaux de cookies : TCF, IAB Europe et l'application contre les dark patterns

L'architecture de consentement de LinkedIn s'inscrit dans un problème plus vaste que l'UE démantèle systématiquement. La décision de l'autorité belge de protection des données de février 2022 contre IAB Europe — l'association sectorielle à l'origine du Transparency and Consent Framework (TCF), infrastructure technique employée par la plupart des éditeurs et acteurs ad-tech européens — a établi que le signal TCF constitue lui-même une donnée personnelle, qu'IAB Europe est un responsable conjoint pour la chaîne de consentement générée par les bandeaux TCF, et que le consentement recueilli via les mécanismes TCF dans leur forme alors en vigueur ne satisfaisait pas au RGPD. La CJUE a confirmé et précisé cette position dans IAB Europe contre Gegevensbeschermingsautoriteit (C-604/22, 7 mars 2024).

Les lignes directrices 3/2022 du CEPD sur « les schémas de conception trompeurs dans les interfaces des plateformes de réseaux sociaux » (adoptées en mars 2022, version finale publiée en février 2023) exposent, avec des exemples détaillés, les choix de conception constitutifs de dark patterns prohibés par le RGPD. Les parcours de consentement qui minimisent visuellement l'option de refus, qui requièrent des clics supplémentaires pour refuser, qui formulent le refus de manière négative ou qui précochent des cases sont tous mis en cause. L'avis 08/2024 du CEPD sur les modèles « consentement ou paiement » a ajouté un autre point de données en soulignant que les utilisateurs doivent se voir offrir un véritable choix, plutôt que d'être poussés vers le pistage comportemental comme option par défaut. La tendance est cohérente : les régulateurs n'acceptent plus de parcours de consentement dont la finalité est d'extorquer un opt-in. La norme est désormais : consentement véritable, granulaire, libre — ou pas de traitement.

Pour les organisations exploitant des bandeaux de cookies ou des parcours de consentement en produit, la décision LinkedIn doit se lire en parallèle du rapport de la task force du CEPD sur les bandeaux cookies (janvier 2023, sur la pratique du consentement aux cookies) et des lignes directrices 3/2022 du CEPD sur les schémas de conception trompeurs (adoptées en mars 2022). Le message combiné est opérationnel : toute organisation qui n'a pas refondu son architecture de consentement à la lumière de ce corpus est exposée, et les régulateurs ont démontré que les amendes atteignent les centaines de millions pour les plus grands contrevenants et les centaines de milliers d'euros pour les organisations de taille intermédiaire.

Perspective : le second régime de conformité — l'IA Act s'applique à partir du 2 août 2026

La publicité comportementale est, sur le plan technique, du profilage automatisé. À compter du 2 août 2026, le règlement européen sur l'intelligence artificielle (IA Act) s'applique à une catégorie définie de systèmes d'IA et superpose des obligations supplémentaires au RGPD. Lorsqu'un système employé en publicité relève de l'annexe III de l'IA Act — en particulier les catégories couvrant les systèmes utilisés dans les décisions d'emploi ou l'accès à des services essentiels — l'article 14 de l'IA Act impose au fournisseur une obligation de conception orientée vers le contrôle humain, l'article 26, paragraphe 7, impose au déployeur une obligation d'information envers les personnes physiques, et l'article 86 crée un droit à une explication claire du rôle joué par le système d'IA dans la décision. Les organisations qui n'ont pas remis en ordre la couche RGPD du consentement et de la base juridique d'ici au 2 août 2026 entreront dans un second régime avec d'autres obligations, d'autres acteurs et un plafond parallèle de 15 M€ ou 3 % du chiffre d'affaires mondial pour la non-conformité à haut risque. La conséquence pratique : corriger la couche RGPD aujourd'hui, c'est en même temps préparer l'IA Act. Les deux régimes se recouvrent exactement sur les flux examinés par la décision LinkedIn.

Pourquoi cette affaire fait jurisprudence pour tout responsable du traitement

La tentation, à la lecture d'une décision visant une filiale mondiale de Microsoft, est de la classer parmi les « problèmes des Big Tech » et de supposer que l'analyse ne touche pas une organisation de 200 salariés à Berlin ou de 50 salariés à Ljubljana. Cette hypothèse est erronée, et la structure du raisonnement de la DPC la rend délibérément erronée. La DPC n'a pas fondé sa décision sur la taille de LinkedIn, sur sa portée mondiale, sur sa société mère ou sur le volume d'utilisateurs concernés. Elle l'a fondée sur l'architecture juridique du consentement et de la base juridique au titre du RGPD — une architecture qui s'applique uniformément à un responsable traitant les données d'une seule personne concernée de l'UE comme à celui qui en traite cent millions. Chaque étape de l'analyse de la DPC — le test à quatre critères du consentement de l'article 4, point 11, la lecture stricte de la nécessité contractuelle, la mise en balance en trois étapes de l'intérêt légitime, l'exigence d'information granulaire de l'article 13/14, paragraphe 1, sous c) — s'applique à un CRM d'une SaaS B2B régionale exactement comme au pipeline publicitaire mondial de LinkedIn.

Ce que la différence de taille change, c'est le montant de l'amende, pas l'existence de la violation. L'article 83, paragraphe 2, du RGPD énumère les facteurs que l'autorité doit prendre en compte pour fixer la sanction — notamment la nature, la gravité et la durée du manquement, les catégories de données affectées, le degré de coopération du responsable et « toute autre circonstance aggravante ou atténuante applicable au cas d'espèce ». Pour une PME, le même manquement qui a produit l'amende de 310 millions infligée à LinkedIn aboutirait typiquement à une amende comprise entre 50 000 € et 500 000 € — toujours significative, souvent existentielle, toujours évitable. Pour une organisation intermédiaire dont le chiffre d'affaires annuel se situe entre 50 M€ et 500 M€, l'amende analogue se situe couramment entre 1 M€ et 10 M€. Les fourchettes varient ; l'analyse juridique reste la même. Lire la décision LinkedIn comme un manuel de ce qu'il ne faut pas faire est la bonne réponse, quelle que soit la taille de l'organisation.

Plan de remise en conformité en 90 jours

Pour une organisation qui a lu jusqu'ici et identifié son exposition, voici un plan de 90 jours calibré pour un responsable de taille intermédiaire disposant d'un programme RGPD existant, mais peu investi dans une architecture de consentement granulaire ou dans des AIPD sur le traitement comportemental. Chaque phase est bornée par un livrable clair et un responsable de validation.

Jours 1 à 30 — cartographie et analyse des écarts. Extraire du registre des traitements (article 30) toute activité comportant du profilage, de l'inférence comportementale, du marketing personnalisé, du lead scoring, des contenus dynamiques ou des analytiques franchissant la frontière entre agrégat et individuel. Pour chaque activité, documenter : la finalité précise, les catégories de données traitées, la base juridique invoquée au titre de l'article 6, l'existence d'une AIPD, l'identification de la base juridique par finalité dans la politique de confidentialité et la véritable granularité du mécanisme de consentement (le cas échéant). Le livrable est un registre avec une ligne par activité et une colonne dédiée à chaque écart. Validation : le DPO.

Jours 31 à 60 — remise en conformité architecturale. Remplacer ou reconfigurer la CMP de sorte que chaque finalité dispose d'un opt-in distinct, positionné par défaut sur « désactivé », et produise un journal de consentement par finalité, récupérable sur demande de la personne concernée. Ajouter un chemin « Tout refuser » de même proéminence sur chaque interface de recueil. Réécrire la politique de confidentialité pour identifier, par finalité, la base juridique de l'article 6 invoquée — en langage clair, pas en jargon juridique. Conduire les AIPD au titre de l'article 35 pour toute activité signalée en phase 1 comme profilage systématique ou analyse comportementale à grande échelle. Validation : le directeur technique (pour la CMP) et le DPO (pour l'AIPD et la politique).

Jours 61 à 90 — opérationnalisation et audit. Former les équipes orientées client aux nouveaux parcours de consentement et au traitement des demandes des personnes concernées résultant de la nouvelle information. Mettre en place un audit trimestriel de la qualité du consentement — taux d'opt-in par finalité, taux de refus, taux de retrait, volume de plaintes, délai de prise en charge des droits. Documenter la fréquence d'audit et la voie d'escalade en cas d'écart significatif. Informer la direction générale de la nouvelle posture, des risques résiduels identifiés en AIPD et du calendrier d'audit. Validation : la direction générale, avec le DPO comme rapporteur. Le livrable de cette phase est une base de gouvernance soutenable, qui survit aux mouvements de personnel et aux évolutions produit.

Auto-évaluation : cinq questions avant que le régulateur ne les pose

Utilisez ce court diagnostic sur vos propres traitements. Une réponse incertaine signifie un écart réel.

• Pouvez-vous, par finalité de traitement, désigner la base juridique précise de l'article 6, paragraphe 1 (a, b, c, d, e ou f) sur laquelle vous vous appuyez — et produire l'évaluation documentée qui la soutient ?
• Si vous vous appuyez sur le consentement : votre recueil est-il réellement granulaire (un curseur par finalité), avec un opt-in actif (par défaut désactivé, et non un usage continu), un chemin « Tout refuser » de même proéminence visuelle que « Tout accepter », et un journal par finalité récupérable sur demande de la personne concernée ?
• Si vous vous appuyez sur l'intérêt légitime : avez-vous réalisé et documenté un test de mise en balance en trois étapes (identification de l'intérêt, appréciation de la nécessité, mise en balance contre les droits de la personne concernée) — et résiste-t-il à une contestation par « moyens moins intrusifs » ?
• Votre politique de confidentialité indique-t-elle à chaque personne concernée, par finalité, la base juridique précise de l'article 6 que vous invoquez pour cette finalité — et non un libellé générique ?
• Avez-vous réalisé et documenté une AIPD au titre de l'article 35 du RGPD pour tout traitement comportant un profilage systématique ou une analyse comportementale à grande échelle de personnes physiques de l'UE ?

Si l'une de ces questions a fait apparaître une incertitude, le diagnostic gratuit de 10 minutes de Viktoria Compliance → cartographie votre exposition réelle sur l'ensemble des modules RGPD — y compris les modules base juridique, transparence, AIPD et sous-traitants et transferts les plus directement engagés par la décision LinkedIn — et produit une liste de remédiation priorisée avant qu'un régulateur ne le fasse.

Questions fréquentes

Comment le montant de 310 M€ a-t-il été calculé ?

Le total de 310 M€ a été structuré en trois amendes administratives, chacune fondée sur les articles 58, paragraphe 2, point i), et 83 du RGPD. La DPC, dans son communiqué public, n'a pas publié de répartition par article ; le texte intégral de la décision contient le détail. Ce qui est vérifié publiquement, c'est que le total de 310 M€ correspond aux constatations de manquements aux articles 5, paragraphe 1, sous a), 6, paragraphe 1, 13, paragraphe 1, sous c), et 14, paragraphe 1, sous c). L'amende relève du plafond supérieur de l'article 83, paragraphe 5 — soit 20 M€ ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Le chiffre d'affaires du groupe LinkedIn place les 310 M€ très en deçà du plafond légal de 4 %.

Le CEPD a-t-il rendu une décision contraignante au titre de l'article 65 ?

Non. La procédure de coopération de l'article 60 s'est déroulée sans objection des autorités concernées. Le projet de décision a été soumis en juillet 2024 ; aucune autorité n'a soulevé d'objection motivée dans le délai réglementaire. Aucune procédure de règlement des litiges au titre de l'article 65 devant le Comité européen de la protection des données n'a donc été déclenchée. L'absence d'objections signifie donc seulement qu'aucune autorité concernée n'a déclenché l'article 65 ; elle ne doit pas être interprétée comme une approbation formelle du montant ou de la gravité par le CEPD.

L'amende est-elle définitive, ou l'appel pourrait-il la réduire ?

Les constatations matérielles de manquement aux articles 5, paragraphe 1, sous a), 6, paragraphe 1, 13, paragraphe 1, sous c), et 14, paragraphe 1, sous c), ne sont pas susceptibles d'appel par la voie statutaire de la section 142 — la High Court l'a confirmé dans son arrêt préliminaire du 20 avril 2026. La procédure plus large comprend encore les arguments constitutionnels et le recours en contrôle juridictionnel ; la formulation la plus prudente est donc que les constatations restent en vigueur pendant le déroulement de ces procédures. L'appel porte donc sur le montant et sur les arguments constitutionnels et Charte. Une réduction est juridiquement possible ; une annulation totale de l'analyse matérielle est hautement improbable. L'injonction de mise en conformité au titre de l'article 58, paragraphe 2, point d), reste opérante en toutes hypothèses.

Quelles conséquences pour les entreprises B2B qui ne sont pas des plateformes publicitaires ?

Toute organisation qui profile des personnes physiques de l'UE à des fins de marketing, de priorisation de leads, de scoring de comptes ou de contenu personnalisé est exposée à la même analyse appliquée par la DPC à LinkedIn. Les questions juridiques sont identiques : quelle base de l'article 6 soutient le profilage ? Le consentement (s'il est invoqué) est-il libre et granulaire ? L'intérêt légitime (s'il est invoqué) résiste-t-il à la mise en balance ? La politique de confidentialité identifie-t-elle la base juridique par finalité ? Une SaaS B2B exploitant une plateforme d'account-based marketing doit traiter cette décision comme un précédent direct.

Le RGPD s'applique-t-il toujours aux organisations britanniques après le Brexit ?

Oui — sur deux plans. Le UK GDPR (version britannique du règlement) impose des obligations matériellement identiques, appliquées par l'Information Commissioner's Office. Le RGPD européen continue de s'appliquer extraterritorialement aux organisations britanniques qui proposent des biens ou services à des personnes concernées dans l'UE ou qui surveillent leur comportement dans l'UE (article 3, paragraphe 2, du RGPD). Une entreprise britannique pratiquant de la publicité comportementale ciblant l'UE est exposée aux deux régimes simultanément.

Quel est le calendrier réaliste de mise en conformité pour une organisation de taille intermédiaire ?

Pour une organisation de taille intermédiaire (50 à 500 salariés) disposant d'un programme RGPD existant, un plan de 90 jours est réaliste : 30 jours pour cartographier chaque traitement comportant du profilage ou de l'analyse comportementale et auditer la base juridique invoquée pour chacun ; 30 jours pour déployer une CMP granulaire et refondre les politiques de confidentialité afin de satisfaire aux articles 13/14, paragraphe 1, sous c) ; 30 jours pour conduire une AIPD sur les traitements à plus haut risque et mettre en place le cycle d'audit de la qualité du consentement. Pour une organisation partant d'une base RGPD faible, le calendrier double. Le diagnostic Viktoria Compliance produit une version priorisée de ce plan, adaptée aux écarts identifiés.

Conclusion : l'application n'est plus une hypothèse

La décision LinkedIn clôt un arc de six ans, ouvert par la plainte d'une petite association française de défense des droits numériques et conclu par l'une des plus lourdes amendes publicitaires jamais prononcées par la DPC irlandaise. L'analyse juridique appliquée par la DPC est désormais solidement ancrée dans la jurisprudence de la CJUE et la pratique des autorités de contrôle. Les contrôles techniques et organisationnels qui auraient évité le manquement sont bien documentés, largement disponibles et modestes en coût au regard de la sanction. Les autorités qui passaient autrefois pour clémentes ont démontré, par cette décision et d'autres récentes, que l'ère clémente est révolue. La question pour tout responsable du traitement pratiquant du profilage comportemental, du marketing personnalisé, du lead scoring ou tout autre traitement systématique de données européennes n'est plus de savoir si le régulateur finira par regarder. C'est de savoir si la remédiation sera achevée avant — ou après — qu'il regarde.

Sources (documents primaires)

• Commission irlandaise de protection des données, communiqué de presse du 24 octobre 2024 — « Irish Data Protection Commission fines LinkedIn Ireland €310 million » — https://www.dataprotection.ie/en/news-media/press-releases/irish-data-protection-commission-fines-linkedin-ireland-eu310-million
• Commission irlandaise de protection des données, page de décision — « Inquiry into LinkedIn Ireland Unlimited Company - October 2024 » — https://www.dataprotection.ie/en/dpc-guidance/law/decisions-made-under-data-protection-act-2018/linkedin-ireland-unlimited-company-october-2024
• Commission irlandaise de protection des données, décision finale (PDF), 22 octobre 2024 — https://www.dataprotection.ie/sites/default/files/uploads/2024-12/LinkedIn-Final-Decision-IN-18-08-3-Redacted.pdf
• Commission irlandaise de protection des données, registre des amendes (statut d'appel) — https://www.dataprotection.ie/en/dpc-guidance/decisions/fines
• LinkedIn News, réponse officielle du 24 octobre 2024 — « Our Response to the Irish Data Protection Commission's Decision » — https://news.linkedin.com/2024/October/Our-Response-to-the-Irish-Data-Protection-Commissions-Decision
• The Irish Times, « Microsoft-owned LinkedIn fined €310m by Irish Data Protection Commission », 24 octobre 2024 — https://www.irishtimes.com/business/2024/10/24/microsoft-owned-linkedin-fined-310m-by-irish-data-protection-commission/
• The Irish Times, « LinkedIn claims data watchdog's €310m fine is "penal" sanction », 16 décembre 2024 — https://www.irishtimes.com/business/2024/12/16/linkedin-claims-data-watchdogs-310m-fine-is-penal-sanction/
• Irish Legal News, « High Court: Court determines preliminary issues in LinkedIn appeal of 2024 DPC decision » — https://www.irishlegal.com/articles/high-court-court-determines-preliminary-issues-in-linkedin-appeal-of-2024-dpc-decision
• High Court irlandaise, LinkedIn Ireland Unlimited Company c/ Data Protection Commission [2026] IEHC 235 — https://www.bailii.org/ie/cases/IEHC/2026/2026IEHC235.html
• Règlement (UE) 2016/679 (RGPD) — articles 5, 6, 13, 14, 35, 58, 60, 83 — https://eur-lex.europa.eu/eli/reg/2016/679/oj
• CJUE, affaire C-604/22, IAB Europe c/ Gegevensbeschermingsautoriteit, arrêt du 7 mars 2024 — https://curia.europa.eu/juris/document/document.jsf?docid=283529
• CJUE, affaire C-252/21, Meta Platforms Inc. e.a. c/ Bundeskartellamt, arrêt du 4 juillet 2023 — https://curia.europa.eu/juris/document/document.jsf?docid=275125
• La Quadrature du Net — page de campagne « Personnal Data » — https://www.laquadrature.net/en/personnal-data/
• La Quadrature du Net — annonce du dépôt initial des plaintes GAFAM (28 mai 2018) — https://www.laquadrature.net/2018/05/28/depot_plainte_gafam/
• Comité européen de la protection des données, Avis 08/2024 sur la validité du consentement dans les modèles « consentement ou paiement » (adopté le 17 avril 2024) — https://www.edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-082024-valid-consent-context-consent-or-pay_en

À lire ensuite

La décision LinkedIn est un nœud dans un ensemble étroitement lié de développements réglementaires européens. Les articles suivants couvrent les sujets connexes — commencez par celui qui se rapproche le plus de votre préoccupation actuelle.

• Dark patterns et consentement cookies en 2026 — l'échec UX du consentement de LinkedIn relève de la même architecture qui produit les contentieux sur les bandeaux de cookies. L'analyse approfondie des parcours de consentement conformes. (/blog/dark-patterns-cookies-2026)
• Article 22 du RGPD et IA Act : décisions automatisées en 2026 — la publicité comportementale est du profilage automatisé, et à partir du 2 août 2026 l'IA Act superpose un second régime de conformité. C'est ici que se forme la prochaine grande vague d'application. (/blog/gdpr-art22-ai-act-automated-decisions-2026)
• L'échéance « inventaire IA » du 2 août 2026 — si vous exploitez du ciblage, du scoring ou de la personnalisation, il vous faut un inventaire IA avant l'application de l'IA Act. Voici comment le construire. (/blog/ai-inventory-deadline-august-2026)
• État de la transposition NIS2 dans toute l'UE en 2026 — l'application contre les Big Tech fait les gros titres ; NIS2 est la prochaine vague qui touche les ETI et les PME dans les 27 États membres. (/blog/nis2-transposition-status-eu-2026)
• RGPD + NIS2 + IA Act : la pile de conformité intégrée — faire tourner trois programmes silotés coûte plus cher que d'en exploiter un intégré. L'architecture stratégique se trouve ici. (/blog/gdpr-nis2-ai-act-integrated-compliance-2026)