Scraping de données à caractère personnel, est-ce légal ?

La massification exponentielle des données et notamment des données à caractère personnel et la concurrence à laquelle se livrent les sociétés ont conduit à l’émergence de nouvelles pratiques en ligne, dont fait notamment partie le « scraping ».

Le scraping : comment le définir ?

Cette pratique relativement récente correspond à la collecte et à l’extraction de données par l’intermédiaire de logiciels ou de programmes d’extraction qui permettent de collecter des informations depuis des sources accessibles publiquement sur internet. C’est le cas notamment sur des réseaux sociaux professionnels comme LinkedIn.

La valeur liée à ces données en ligne ainsi que les informations directes ou indirectes en découlant ont amené de nombreux acteurs à recourir à cette pratique souvent controversée. En effet, il existe des zones d’ombres qui entourent la légalité du recours au scraping.

Pourquoi recourir au scraping ?

Cette technique est surtout utilisée pour le traitement, l’analyse et la revente de données ainsi que pour le démarchage commercial, que ce soit par des sociétés collectant elles-mêmes ces données pour leur propre compte ou par l’intermédiaire de prestataires spécialisés en la matière.

Dans la pratique, la collecte peut recouvrir une pluralité de données, des données à caractère personnel bien entendu, mais aussi d’autres catégories de données non personnelles comme des données commerciales, financières ou statistiques liées à des biens ou des sociétés etc.

Le recours au scraping présente à première vue des enjeux économiques et concurrentiels évidents. En effet, cette pratique peut être utilisée en matière de ressources humaines (RH) pour collecter des informations sur de potentiels candidats à un emploi ou collecter des informations sur des profils pertinents et talentueux, en extrayant les données de sites professionnels ou de réseaux sociaux. Mais aussi, en détournant les modes de collecte et d’analyse de ces derniers pour organiser d’autres traitements ou opérations non prévus initialement.

Quel encadrement juridique du scraping ?

Le scraping est encadré par les articles L. 342-1 à L. 342-3 du Code de la propriété intellectuelle qui ne font pas une référence directe à la notion de scraping, mais peuvent être applicables à certaines formes de scraping telles que l’extraction et la réutilisation de contenus.

En effet, l’article L. 342-1 prévoit notamment que :

« Le producteur de bases de données a le droit d’interdire :

1° L’extraction, par transfert permanent ou temporaire de la totalité ou d’une partie qualitativement ou quantitativement substantielle du contenu d’une base de données sur un autre support, par tout moyen et sous toute forme que ce soit ;

2° La réutilisation, par la mise à la disposition du public de la totalité ou d’une partie qualitativement ou quantitativement substantielle du contenu de la base, quelle qu’en soit la forme. »

A cet effet, dans le cadre de la mise en œuvre d’un site web, il apparaît nécessaire de prévoir que l’extraction et la réutilisation de ses données seront interdites (en mentionnant au besoin l’interdiction de dispositifs d’extraction tels que le scraping), avec une mention spécifique dans les conditions générales.

Par ailleurs, dès lors que les données à caractère personnel présentes sur un site font l’objet d’une collecte et donc d’un traitement de données au sens du RGPD, elles bénéficient des dispositions de ce même règlement. C’est-à-dire que leur traitement doit reposer sur une base légale prévu par le RGPD et respecter les principes de ce dernier (minimisation des données, sécurité des données, finalités des traitements, encadrement des traitements ultérieurs etc.).

Il en résulte une certaine complémentarité entre ces normes, dans la mesure où le Code de la propriété intellectuelle permet aux exploitants de sites web de se prémunir contre l’extraction et la réutilisation de tout ou partie des données ou des données personnelles qu’ils contiennent. Pour ce faire, il importe de prévoir des interdictions d’extraction et/ou réutilisation dans les CGU de ces derniers sites. Par ailleurs, lorsque ces CGU n’interdisent pas l’extraction ou la réutilisation des données, les dispositions du RGPD trouvent néanmoins à s’appliquer aux collectes de données à caractère personnel qui peuvent résulter de cette absence d’interdiction. Mais aussi aux traitements ultérieurs de ces données. Ces traitements ultérieurs doivent dès lors reposer sur des bases légales conformément au RGPD.

Scrapez en toute légalité : respectez les CGU des sites source des données

Avant d’avoir recours à toute forme de scraping, il est nécessaire de vérifier la nature et l’origine des données, ainsi que le cadre qui leur est applicable certaines plateformes et sites interdisant cette pratique dans leurs conditions générales d’utilisations (CGU).

A titre d’exemple, un réseau social professionnel prévoit dans ses CGU l’interdiction du scraping : Vous vous engagez à ne pas : « […] 2.développer, prendre en charge ou utiliser des logiciels, des dispositifs, des scripts, des robots ou tout autre moyen ou processus (notamment des robots d’indexation, des modules d’extension de navigateur et compléments, ou toute autre technologie) visant à effectuer du web scraping des Services ou à copier par ailleurs des profils et d’autres données des Services ; »

Autre exemple, un site français de petites annonces prévoit lui aussi cette interdiction : « X est producteur des bases de données liées au Site et aux Applications. En conséquence, toute extraction et/ou réutilisation de tout ou partie de ces bases de données, au sens des articles L 342-1 et L 342-2 du code de la propriété intellectuelle, est interdite. »

Scrapez en toute légalité : respectez les principes du RGPD

  • Sur le consentement des personnes concernées :

Les personnes qui partagent publiquement leurs données avec un premier responsable de traitement ne s’attendent pas à ce que leurs données soient utilisées à d’autres fins que celle auxquelles elles avaient initialement consenti. Ainsi, une société effectuant de la prospection commerciale directe à l’aide de données issues de la pratique du scraping devra recueillir le consentement préalable, libre, spécifique, éclairé et univoque des personnes concernées.

Le scraping peut ainsi être une pratique litigieuse. A titre d’exemple, le 8 décembre 2020, la CNIL avait sanctionné à hauteur de 20 000€ la société Nestor, car celle-ci avait effectuée des sollicitations commerciales de prospects sans qu’aucun consentement n’ait été obtenu de leur part. A noter que la base de données de prospects de Nestor avait été constituée par scraping à partir de données issues de LinkedIn.

En 2023, la CNIL a aussi sanctionné à hauteur de 20 millions d’euros la société américaine Clearview AI pour avoir utilisé la technique du scraping afin de collecter des photographies et images de millions de personnes en ligne sans base légale et sans avoir informé les personnes des traitements de leurs données. La société s’était également abstenue de répondre aux demandes d’exercice des droits des personnes concernées.

  • Sur le droit d’opposition des personnes concernées :

Une société devra aussi respecter ce droit prévu par le RGPD, y compris celui des personnes préalablement opposées aux sollicitations commerciales en étant inscrites sur des listes anti-prospection ou auprès du dispositif Bloctel.

Scraping : quelles bonnes pratiques à mettre en œuvre selon la CNIL ?

RGPD : respect du principe de minimisation des données

Les sociétés recourant au scraping doivent minimiser la collecte de données à ce qui est strictement nécessaire et ne collecter que les données nécessaires aux fins de sollicitations commerciales : nom, prénom, e-mail, tout en recueillant préalablement le consentement de la personne sollicitée pour la finalité de sollicitation commerciale.

RGPD : informer les personnes concernées par le traitement de leurs données personnelles

Les sociétés doivent fournir les informations de l’article 14 du RGPD de manière concise, compréhensible et facilement accessible pour les personnes concernées, y compris les informations concernant la source des données.

RGPD : encadrer la relation contractuelle avec les sous-traitants

Un responsable de traitement qui engage un sous-traitant ayant recours au scraping pour son compte, devra veiller à la conformité de ce sous-traitant à l’égard du RGPD. Les contrats entre les parties devront aussi être conformes à l’article 28 du RGPD.

Exemple de pratique litigieuse : Reprenons notre exemple des CGU. Un sous-traitant est amené à collecter des données personnelles par scraping sur un site web alors que les CGU du site mentionnent une interdiction d’utiliser une telle pratique en vue d’extraire et réutiliser les données. Les données collectées par le sous-traitant de manière litigieuse sont ensuite réutilisées par le responsable de traitement. Une telle pratique est susceptible d’entraîner la mise en cause du responsable de traitement et du sous-traitant, sur le terrain de la protection des données comme sur le pénal au vu notamment des dispositions de l’article 323-3 du Code pénal. A ce titre, il reste essentiel pour tout responsable de traitement de veiller aux conditions de recueil de données personnelles par leurs sous-traitants, plus encore en matière de prospection commerciale.

Quels droits peuvent s’appliquer en cas de scraping illicite

Le scraping est une pratique qui peut être amené à tomber sous le joug d’une pluralité de dispositions légales et réglementaires. Cette pratique implique divers domaines du droit.

En effet, le scraping peut s’avérer contraire à certaines dispositions du droit de la propriété intellectuelle et du droit de la protection des données personnelles comme nous l’avons précédemment, mais aussi à l’égard du droit pénal.

Droit pénal et scraping : extraction frauduleuse de données

L’article 323-3 du Code pénal sanctionne l’extraction frauduleuse de données s’apparentant à une forme de scraping. En effet cet article prévoit que : « Le fait d’introduire frauduleusement des données dans un système de traitement automatisé, d’extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu’il contient est puni de cinq ans d’emprisonnement et de 150 000 € d’amende. »

A ce titre, la Cour d’Appel de Paris a eu l’occasion de se prononcer par un arrêt intéressant en date du 15 septembre 2017, (M.X c/ Weezevent : jurisData n°2017-024213), aux termes duquel elle a déclaré M. X coupable d’infractions d’extractions frauduleuse de données contenues dans un système de traitement automatisée au préjudice de la société Weezevent et de la collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite.

Sur l’extraction frauduleuse, les CGU du site web de la société Weezevent mentionnaient clairement l’interdiction d’extraire et de réutiliser les données du site web. Pour autant et en dépit de l’interdiction mentionnée dans ces CGU et tout en ayant lu lesdites CGU, M. X a procédé à l’extraction de 16% des données du site. La Cour a relevé que M. X avait en conséquence alimenté son site concurrentiel qu’il exploitait avec les données du site de Weezevent et ce alors qu’il ne pouvait extraire ces données sans autorisation expresse de la société Weezevent.

Sur la collecte de données à caractère personnel par un moyen frauduleux, déloyal et illicite, l’intention frauduleuse de la collecte était caractérisée, pour la Cour, par l’utilisation de scripts spécialement conçus pour collecter de manière sélective des données personnelles (adresses mail) de personnes morales, mais surtout de personnes physiques, à l’insu de ces personnes et dans un but purement concurrentiel, à des fins d’exploitation économique. Ce dernier aspect était souligné par la Cour, ce qui démontrait les limites à apporter au scraping à des fins économiques.

Autant d’éléments qui soulignent la nécessité d’encadrer toute forme de collecte de données qui pourrait s’apparenter au scraping, que ce soit de manière directe ou indirecte, via des prestataires.

Le cabinet AUMANS, expert en droit des données personnelles, vous accompagne sur l’ensemble de ces problématiques. Contactez nos avocats pour évaluer ou assurer la conformité de vos collectes de données face au RGPD et aux autres réglementations en la matière !

AUMANS AVOCATS (anciennement FOUSSAT AVOCATS & DEROULEZ AVOCATS)
AARPI
Paris +33 (0)1 85 08 54 76 / Lyon +33 (0)4 28 29 14 92 /
Marseille 
+33 (0)4 84 25 67 89 / Bruxelles +32 (0)2 318 18 36