Recevez chaque jour toute l'actualité du numérique

x

Le web scraping et le droit : qu'est-ce qui est vraiment légal ?

Tribune De plus en plus de société ont recours au "web scraping" pou récupérer de la data ou générer de nouveaux business. Mais ces techniques d'extraction du contenu des données de sites web est-elle vraiment légale ? Que disent les lois françaises et européennes ? Le point avec Pascal Agosti, avocat associé au sein du cabinet Caprioli & Associés, docteur en droit, membre de JurisDefi.  
Twitter Facebook Linkedin Flipboard Email
×

Le web scraping et le droit : qu'est-ce qui est vraiment légal ?
Le web scraping et le droit : qu'est-ce qui est vraiment légal ?

Avant tout, la démarche juridique impose de définir ce qu’est le "web scraping". Il s’agit d’un ensemble de techniques assurant l’extraction du contenu des données d’un site Web. Les données ainsi récupérées seront utilisées :

  1. Soit dans un autre contexte, par exemple, pour être intégrées dans une autre application (lorsqu’aucune API n’est disponible) ;
  2. Soit pour stocker ces données en base pour qu’elles soient analysées.

 

HiQ vs LinkedIn Corp

L’été dernier, une affaire a défrayé la chronique judiciaire aux Etats-Unis. Le 14 août 2017, un juge de l’US District Court du District Nord de Californie faisait droit à la start-up HiQ Labs, dont le modèle commercial est fondé sur la revente d’informations publiques propres à des salariés (c’est-à-dire figurant notamment sur les profils de réseaux sociaux) et dont les destinataires sont leurs employeurs, dans son litige l’opposant à LinkedIn Corp.

Dans les faits, HiQ Labs collecte exclusivement les informations issues des profils publics LinkedIn des salariés d’une entreprise en recourant à des pratiques de web scraping. HiQ analyse ces informations pour déterminer les profils de salariés au profit de leur employeur, notamment ceux qui pourraient être recrutés par des concurrents. LinkedIn a demandé à HiQ de cesser de collecter ces données, en prétextant de certaines lois comme le Computer Fraud and Abuse Act (CFAA) intégré au 18 US § 1030 et d’une violation des conditions d’utilisation du site, qui interdit ce type de pratique.

En effet, en prenant les Conditions d’utilisation dans leur version du  7 juin 2017, l'article 8.2.k indique : "Vous vous engagez à ne pas : […] développer, prendre en charge ou utiliser des logiciels, des dispositifs, des scripts, des robots ou tout autre moyen ou processus (notamment des robots d’indexation, des modules d’extension de navigateur et compléments, ou toute autre technologie ou tout travail physique) visant à effectuer du web scraping des Services ou à copier par ailleurs des profils et d’autres données des Services".

Mais, la Cour n’a pas suivi cette argumentation et a considéré que les données figurant sur les profils des utilisateurs sont publiques en étant diffusées via Internet et peuvent donc être librement collectées via web scraping. Cette décision peut constituer un déclic quant à l’accessibilité des pages des personnes via les réseaux sociaux.

Il pourrait ainsi être opportun que la non visibilité des profils soit désormais la règle (ils seraient alors privés ou "non" publics) et la visibilité l’exception. Cette inversion de la règle serait évidemment positive en termes de protection des données à caractère personnel, certes. Mais elle serait surtout opportune dans une optique commerciale, afin d’éviter que les données figurant sur les sites soient collectées et utilisées sans une réelle maîtrise des internautes ou des sites dépositaires de ces données.

 

Et en Europe ?

Son cousin, le screen scraping, est une pratique récurrente dans le domaine financier. En effet, les agrégateurs de comptes de paiement s’introduisent – avec l’autorisation de l’internaute le plus souvent, sur un compte pour récupérer des informations sans pouvoir mouvementer des fonds ; ils permettent à l’utilisateur de leurs services de disposer dans un même interface de toutes leurs données de paiement.

Mais cette pratique des Fintech est largement contestée par les établissements bancaires et financiers, prétextant d’une faille de sécurité et du non-respect des conditions d’utilisation de leur espace de banque en ligne. Dans le cadre des Regulatory Technical Standards (RTS) relatifs à l’authentification forte, cette pratique est largement combattue pour des raisons de sécurité technique.

Un combat oppose depuis quelques mois les Fintech et les acteurs traditionnels du marché bancaire quant à la recevabilité d’une telle pratique. Le 30 juin 2017, l’Autorité Bancaire Européenne a fermement rejeté les propositions d’amendement des projets de Regulatory Technical Standards (RTS) formulées par la Commission Européenne afin d’autoriser le screen-scraping en tant que moyen d’accès aux données bancaires « de secours » par les agrégateurs de paiement.

 

Et en France ?

La pratique du web scraping pourrait être considérée comme un "vol de données" (atteinte au STAD) en s’appuyant sur l’article 323-3 du Code pénal qui énonce :

"Le fait d'introduire frauduleusement des données dans un système de traitement automatisé, d'extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu'il contient est puni de cinq ans d'emprisonnement et de 150.000 € d'amende. Lorsque cette infraction a été commise à l'encontre d'un système de traitement automatisé de données à caractère personnel mis en œuvre par l'Etat, la peine est portée à sept ans d'emprisonnement et à 300.000 € d'amende." Il conviendrait toutefois de caractériser l’intention frauduleuse du web scraping.

On peut également considérer qu’il s’agit d’un acte de concurrence déloyale ou d’une pratique de parasitisme, la personne recourant au web scraping n’ayant pas effectué les mêmes efforts (en termes de communication, d’investissements techniques, etc.) que le teneur du site pour collecter ces données.

En outre, ce point se double d’exigences impératives en matière de protection des données à caractère personnel des utilisateurs à l’heure où le RGPD constitue une donne incontournable dans la stratégie des entreprises connectées. Il met en exergue la nécessité d’une gouvernance des données à caractère personnel (tant organisationnelle que juridique ou technique)…

 

Pascal Agosti, Avocat associé, Docteur en droit, Membre de JurisDefi

 

Les avis d'experts et points de vue sont publiés sous la responsabilité de leurs auteurs et n’engagent en rien la rédaction.
   

 

 

 

  

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

3 commentaires

Robert
12/11/2017 08h55 - Robert

Qu'en est il des données personnelles extraites a l'insu d'un particulier ? : exploitant une faille de sécurité d'un réseau "domestique" connecté a une box , une société tiers a téléchargé et analysé mes documents personnels, quelle est ma position au regard de la loi française ?

Répondre au commentaire | Signaler un abus

Patrice
02/10/2017 17h10 - Patrice

Peut-on vraiment parler d'extraction frauduleuse, à partir du moment où le client (à qui appartiennent les données en question, in fine) a donné son accord ? Puisque vous mentionnez le RGPD, quid de l'obligation de portabilité des données, qui ne sera certainement pas respectée en mai 2018 par une majorité d'entreprise ? Et quid des manoeuvres des banques pour ne pas partager les données (des clients, encore une fois, ce ne sont pas des données appartenant à la banque) comme le leur imposerait, en principe, la DSP2 au début de 2018 ?

Répondre au commentaire | Signaler un abus

Pascal AGOSTI
03/10/2017 21h31 - Pascal AGOSTI

Bonjour, tout est lié à la notion d'autorisation du client pour recourir à ces données (cela se retrouve dans l'article). Attention, le webscraping sans autorisation du Client peut être considéré comme une manœuvre frauduleuse (atteinte au STAD). Il faut éviter de limiter le webscraping à la seule agrégation de compte de paiement, d'autres pratiques étant plus problématiques.

Signaler un abus

 
media