La CNIL a examiné le cas de Lusha, une société qui collecte des données professionnelles via une extension Chrome. Entre 2016 et 2022, Lusha a aspiré des carnets d’adresses d’utilisateurs d’applications mobiles pour constituer sa base de données. La CNIL a conclu que, bien que des données personnelles soient traitées, il n’y a pas de suivi de comportement au sens du RGPD, car le traitement ne vise pas à analyser ou prédire des comportements. Par conséquent, le RGPD n’est pas applicable, et la CNIL n’a pas le pouvoir de sanctionner Lusha.