LinkedIn conditionne vos droits RGPD à un abonnement payant : noyb saisit la DPA autrichienne

LinkedIn suit discrètement les visites sur les profils de ses utilisateurs depuis 365 jours. Mais si vous souhaitez consulter cette liste gratuitement, le réseau professionnel vous oppose une fin de non-recevoir — à moins de souscrire à un abonnement Premium. C'est précisément ce paradoxe que l'association de défense des droits numériques noyb a décidé d'attaquer : les mêmes données vendues à prix d'or doivent aussi être accessibles gratuitement au titre du droit d'accès prévu par le RGPD.

Ce qui s'est passé

Le 5 mai 2026, noyb a déposé une plainte contre LinkedIn — filiale de Microsoft — auprès de l'autorité autrichienne de protection des données (DSB), au nom d'un utilisateur ayant exercé son droit d'accès au titre de l'article 15 du RGPD.

La mécanique est simple et révélatrice : LinkedIn enregistre systématiquement les visiteurs de chaque profil. Ces données d'activité sont ensuite commercialisées via un abonnement Premium, permettant à l'abonné de consulter la liste complète des personnes ayant visité son profil au cours des 12 derniers mois. En clair, LinkedIn monétise vos données personnelles — celles relatives à votre comportement de navigation sur la plateforme.

Or, lorsqu'un utilisateur a adressé une demande d'accès à ces mêmes données, LinkedIn a refusé. L'argument avancé ? La protection des données des autres utilisateurs. Autrement dit, la plateforme invoque la vie privée des visiteurs pour refuser de communiquer des informations qu'elle vend par ailleurs sans état d'âme à ceux qui paient.

Selon Martin Baumann, avocat spécialisé dans la protection des données chez noyb : "Il est absurde que les entreprises ne semblent reconnaître l'importance de la protection des données que lorsqu'elles veulent vendre des données. LinkedIn n'a aucun problème à transmettre certaines données en échange d'argent — mais devient soudainement préoccupé par la vie privée des autres utilisateurs lorsque vous exercez votre droit d'accès."

Pourquoi c'est important

Cette affaire cristallise une tension fondamentale du RGPD : la monétisation des données personnelles ne peut pas coexister avec le refus d'exercice des droits des personnes concernées. L'article 15 du RGPD est pourtant sans ambiguïté — toute personne concernée a le droit d'obtenir gratuitement la confirmation que ses données sont traitées et d'en obtenir une copie.

Le raisonnement de noyb est juridiquement solide : si LinkedIn est prête à divulguer les données des visiteurs à l'abonné Premium (avec le consentement implicite des visiteurs qui acceptent que leur visite soit enregistrée), alors l'argument de la "protection des tiers" ne tient pas pour refuser une demande d'accès. Les données existent, elles sont traitées, elles sont transmises à des tiers payants — elles doivent donc être accessibles gratuitement à la personne concernée.

Ce n'est pas la première fois que des entreprises tentent de faire payer l'exercice de droits RGPD pourtant gratuits. La pratique est structurelle : certaines utilisent les demandes d'accès comme levier pour pousser des abonnements ou des services premium, une tendance que noyb combat activement depuis plusieurs années.

L'affaire soulève également une question sur la légalité du suivi lui-même. LinkedIn ne demande pas de consentement actif (opt-in) pour enregistrer les visites de profil. Or, si ce suivi n'est pas conforme au RGPD, les données collectées dans ce cadre ne devraient pas exister — ce qui fragilise encore davantage l'argument commercial de la plateforme.

À retenir également pour les DPO : cette affaire rejoint d'autres décisions récentes illustrant que le périmètre des données personnelles accessibles via le droit d'accès est interprété largement par les autorités, y compris pour des données partagées entre plusieurs personnes.

Ce que ça change pour les organisations

Pour les DPO et responsables conformité, cette plainte est un signal d'alarme clair. Toute organisation qui monétise des données personnelles — que ce soit via des fonctionnalités premium, des abonnements ou des services à valeur ajoutée — doit s'assurer que ces mêmes données sont accessibles gratuitement dans le cadre d'une demande d'accès RGPD.

Trois points d'action concrets :

• Auditer la cohérence entre ce qui est "vendu" et ce qui est "refusé" : si une donnée est transmise à un tiers payant, elle doit a fortiori être communicable à la personne concernée gratuitement.
• Revoir les motifs de refus dans vos procédures de réponse aux demandes d'accès : invoquer la "protection des tiers" n'est valide que si la donnée n'est par ailleurs pas communiquée à des tiers dans le cadre de votre activité commerciale normale.
• Documenter les bases légales du suivi comportemental : si votre organisation suit des comportements d'utilisateurs sans consentement opt-in explicite, le risque juridique est double — sur la base légale du traitement et sur le droit d'accès.

Pour mettre en place un processus robuste de gestion des droits des personnes concernées, consultez notre guide complet sur comment faciliter l'exercice du droit d'accès conformément au RGPD.

Ce que Leto pense de cette décision

La plainte de noyb met le doigt sur une hypocrisie devenue systémique dans l'économie de la donnée. Vendre des données à ses propres utilisateurs tout en leur refusant l'accès gratuit à ces mêmes informations n'est pas seulement illégal — c'est une violation du principe fondamental de loyauté qui sous-tend le RGPD. Les autorités de protection des données devraient saisir cette opportunité pour clarifier, une fois pour toutes, que la monétisation des droits RGPD est incompatible avec le règlement. LinkedIn n'est pas un cas isolé : ce type de pratique mérite une réponse coordonnée à l'échelle européenne.

Sources : noyb — Plainte contre LinkedIn (05/05/2026) · Plainte complète (PDF)