Le web scraping et le droit : qu'est-ce qui est vraiment légal ?

De plus en plus de société ont recours au "web scraping" pou récupérer de la data ou générer de nouveaux business. Mais ces techniques d'extraction du contenu des données de sites web est-elle vraiment légale ? Que disent les lois françaises et européennes ? Le point avec Pascal Agosti, avocat associé au sein du cabinet Caprioli & Associés, docteur en droit, membre de JurisDefi.
 
Partager
Le web scraping et le droit  : qu'est-ce qui est vraiment légal ?

Avant tout, la démarche juridique impose de définir ce qu’est le "web scraping". Il s’agit d’un ensemble de techniques assurant l’extraction du contenu des données d’un site Web. Les données ainsi récupérées seront utilisées :

  1. Soit dans un autre contexte, par exemple, pour être intégrées dans une autre application (lorsqu’aucune API n’est disponible) ;
  2. Soit pour stocker ces données en base pour qu’elles soient analysées.

HiQ vs LinkedIn Corp

L’été dernier, une affaire a défrayé la chronique judiciaire aux Etats-Unis. Le 14 août 2017, un juge de l’US District Court du District Nord de Californie faisait droit à la start-up HiQ Labs, dont le modèle commercial est fondé sur la revente d’informations publiques propres à des salariés (c’est-à-dire figurant notamment sur les profils de réseaux sociaux) et dont les destinataires sont leurs employeurs, dans son litige l’opposant à LinkedIn Corp.

Dans les faits, HiQ Labs collecte exclusivement les informations issues des profils publics LinkedIn des salariés d’une entreprise en recourant à des pratiques de web scraping. HiQ analyse ces informations pour déterminer les profils de salariés au profit de leur employeur, notamment ceux qui pourraient être recrutés par des concurrents. LinkedIn a demandé à HiQ de cesser de collecter ces données, en prétextant de certaines lois comme le Computer Fraud and Abuse Act (CFAA) intégré au 18 US § 1030 et d’une violation des conditions d’utilisation du site, qui interdit ce type de pratique.

En effet, en prenant les Conditions d’utilisation dans leur version du 7 juin 2017, l'article 8.2.k indique : "Vous vous engagez à ne pas : […] développer, prendre en charge ou utiliser des logiciels, des dispositifs, des scripts, des robots ou tout autre moyen ou processus (notamment des robots d’indexation, des modules d’extension de navigateur et compléments, ou toute autre technologie ou tout travail physique) visant à effectuer du web scraping des Services ou à copier par ailleurs des profils et d’autres données des Services".

Mais, la Cour n’a pas suivi cette argumentation et a considéré que les données figurant sur les profils des utilisateurs sont publiques en étant diffusées via Internet et peuvent donc être librement collectées via web scraping. Cette décision peut constituer un déclic quant à l’accessibilité des pages des personnes via les réseaux sociaux.

Il pourrait ainsi être opportun que la non visibilité des profils soit désormais la règle (ils seraient alors privés ou "non" publics) et la visibilité l’exception. Cette inversion de la règle serait évidemment positive en termes de protection des données à caractère personnel, certes. Mais elle serait surtout opportune dans une optique commerciale, afin d’éviter que les données figurant sur les sites soient collectées et utilisées sans une réelle maîtrise des internautes ou des sites dépositaires de ces données.

Et en Europe ?

Son cousin, le screen scraping, est une pratique récurrente dans le domaine financier. En effet, les agrégateurs de comptes de paiement s’introduisent – avec l’autorisation de l’internaute le plus souvent, sur un compte pour récupérer des informations sans pouvoir mouvementer des fonds ; ils permettent à l’utilisateur de leurs services de disposer dans un même interface de toutes leurs données de paiement.

Mais cette pratique des Fintech est largement contestée par les établissements bancaires et financiers, prétextant d’une faille de sécurité et du non-respect des conditions d’utilisation de leur espace de banque en ligne. Dans le cadre des Regulatory Technical Standards (RTS) relatifs à l’authentification forte, cette pratique est largement combattue pour des raisons de sécurité technique.

Un combat oppose depuis quelques mois les Fintech et les acteurs traditionnels du marché bancaire quant à la recevabilité d’une telle pratique. Le 30 juin 2017, l’Autorité Bancaire Européenne a fermement rejeté les propositions d’amendement des projets de Regulatory Technical Standards (RTS) formulées par la Commission Européenne afin d’autoriser le screen-scraping en tant que moyen d’accès aux données bancaires « de secours » par les agrégateurs de paiement.

Et en France ?

La pratique du web scraping pourrait être considérée comme un "vol de données" (atteinte au STAD) en s’appuyant sur l’article 323-3 du Code pénal qui énonce :

"Le fait d'introduire frauduleusement des données dans un système de traitement automatisé, d'extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu'il contient est puni de cinq ans d'emprisonnement et de 150.000 € d'amende. Lorsque cette infraction a été commise à l'encontre d'un système de traitement automatisé de données à caractère personnel mis en œuvre par l'Etat, la peine est portée à sept ans d'emprisonnement et à 300.000 € d'amende." Il conviendrait toutefois de caractériser l’intention frauduleuse du web scraping.

On peut également considérer qu’il s’agit d’un acte de concurrence déloyale ou d’une pratique de parasitisme, la personne recourant au web scraping n’ayant pas effectué les mêmes efforts (en termes de communication, d’investissements techniques, etc.) que le teneur du site pour collecter ces données.

En outre, ce point se double d’exigences impératives en matière de protection des données à caractère personnel des utilisateurs à l’heure où le RGPD constitue une donne incontournable dans la stratégie des entreprises connectées. Il met en exergue la nécessité d’une gouvernance des données à caractère personnel (tant organisationnelle que juridique ou technique)…

Pascal Agosti, Avocat associé, Docteur en droit, Membre de JurisDefi

Les avis d'experts et points de vue sont publiés sous la responsabilité de leurs auteurs et n’engagent en rien la rédaction.

SUR LE MÊME SUJET

Sujets associés

NEWSLETTER L'Usine Digitale

Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

ARTICLES LES PLUS LUS