Retour aux articles
Le web scraping, une technique d’extraction légale ?
Tech&droit - Start-up, Données
11/10/2017
Comme définir le web scraping ? Est-ce légal ? Le point avec Arnaud Touati, avocat associé au cabinet Alto Avocats et Christina Salassidis, étudiante.
Le web scraping désigne l’ensemble des techniques permettant d’extraire le contenu des données d’un site web. Les données sont récupérées pour être réutilisées dans un autre contexte ou pour être intégrées dans une application différente où elles sont stockées pour être analysées.
Le traitement du web scraping en droit français
Au regard de la législation française, la pratique du web scraping pose des difficultés, notamment au regard du droit pénal, droit de la concurrence et de la propriété intellectuelle.
Côté droit pénal.- Toutes les branches du droit français n’appréhendent pas de la même manière le web scraping. Le droit pénal, pour sa part, condamne cette technique. L’article 323-3 du Code pénal prévoit en effet que « le fait d'introduire frauduleusement des données dans un système de traitement automatisé, d'extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu'il contient est puni de cinq ans d'emprisonnement et de 150 000 € d'amende. Lorsque cette infraction a été commise à l'encontre d'un système de traitement automatisé de données à caractère personnel mis en œuvre par l'État, la peine est portée à sept ans d'emprisonnement et à 300 000 € d'amende ».
Si son auteur avait conscience de commettre un acte répréhensible, l’intention frauduleuse est caractérisée. Le web scraping pourra alors être sanctionné pénalement.
Qu’en est-il, maintenant, au regard du droit de la concurrence et du droit de la propriété intellectuelle ?
Côté droit de la concurrence.- La personne ayant recouru au web scraping n’a pas effectué les mêmes efforts que le titulaire du site web pour collecter ces données. Le web scraping pourrait donc constituer un acte de concurrence déloyale au sens de l’article L. 121-1 du Code de la consommation de nature à causer un préjudice au titulaire du site.
Plus précisément, le web scraping s’assimilerait, en l’espèce, à un acte de parasitisme sanctionné sur le fondement de l’article 1240 du Code civil. En effet, l’agent économique s’immisce dans le sillage du titulaire du site web et tire profit, sans rien dépenser, de ses efforts, de son savoir-faire et de sa notoriété.
C’est donc l’utilisation des données parasitées qui est réprimée et non la pratique en elle-même.
Côté droit de la propriété intellectuelle.- En droit d’auteur, l’article L. 342-1 du Code la propriété intellectuelle dispose que « Le producteur de base de données à le droit d’interdire l’extraction par transfert permanent ou temporaire de la totalité ou d’une partie qualitativement ou quantitativement substantielle du contenu d’une base de données sur un autre support, par tout moyen et sous toute forme que ce soit ».
Les juges ont appliqué ce principe à plusieurs reprises. À titre d’exemple, dans un litige opposant Ryanair à Opodo, la cour d’appel de Paris a confirmé la décision du tribunal de commerce de Paris, en validant l’activité de screen scraping pratiquée par Opodo, aux motifs que la transformation réalisée sur les données screen scrapées était suffisante (CA Paris, 23 mars 2012, pôle 5, ch. 2, Ryanair v. Opodo).
En droit de la propriété intellectuelle, ce ne serait donc pas le web scraping en tant que tel qui serait sanctionné, mais l’utilisation, sans modification substantielle, des données scrapées.
Le sort du web scraping à l’étranger
Et à l’étranger, quand est-il du web scraping ?
Dans un litige opposant la société Wegener et la société Innoweb (CJUE, 19 déc. 2013, n° C-202/12, Innoweb BV v. Wegener ICT Media BV, Wegener Mediaventions BV), la Cour de justice de l’Union européenne a interprété la directive 96/9/CE du Parlement européen et du Conseil (Dir. n° 96/9/CE, 11 mars 1996, JOCE 17 mars 1996, n° L 77/20) concernant la protection juridique des bases de données. Rappelons que cette directive prévoit notamment que : « les États membres prévoient pour le fabricant d'une base de données le droit d'interdire l'extraction et/ou la réutilisation de la totalité ou d'une partie substantielle, évaluée de façon qualitative ou quantitative, du contenu de celle-ci, lorsque l'obtention, la vérification ou la présentation de ce contenu attestent un investissement substantiel du point de vue qualitatif ou quantitatif » (Dir. n° 96/9/CE, 11 mars 1996, précitée, art. 7.1) étant précisé que « L'extraction et/ou la réutilisation répétées et systématiques de parties non substantielles du contenu de la base de données qui supposeraient des actes contraires à une exploitation normale de cette base, ou qui causeraient un préjudice injustifié aux intérêts légitimes du fabricant de la base, ne sont pas autorisées » (Dir. n° 96/9/CE, 11 mars 1996, précitée, art. 7.5). En l’espèce, Innoweb, au moyen de son site Internet, exploitait un métamoteur de recherche dédié permettant d’effectuer des recherches sur des sites Internet de tiers, et notamment sur celui proposé par Wegener, qui contenait des recueils d’annonces de vente de voitures. La Cour de justice a donné droit au plaignant, estimant que l’utilisation d’un méta-moteur de recherche constituait une réutilisation d’une partie substantielle du contenu de la base de données sans aucune action de modifications (CJUE, 19 déc. 2013, n° C-202/12, précité, §54).
Ici encore, c’est l’acte d’utilisation des données scrapées qui est réprimé. En l’espèce, la Cour reprend la décision des juges français de 2012 (CA Paris, 23 mars 2012, pôle 5, ch. 2, Ryanair v. Opodo, précité).
Cependant, l’Autorité bancaire européenne a apporté un élément supplémentaire dans son avis du 29 juin 2017 relatif à la prochaine application de la deuxième directive sur les services de paiements PSD2 (Autorité bancaire européenne, 29 juin 2017, EBA/Op/2017/09), l’Autorité bancaire européenne affirme l’interdiction de la technologie du web scraping et oblige, à la place, les banques à construire des interfaces de programmation dédiées aux tiers mais énonce une réserve en émettant la possibilité pour les agrégateurs de paiement de pratiquer le screen-scraping "en solution de secours".
Le screen scraping, consiste pour des agrégateurs de comptes de paiement, à s’introduire sur un compte pour récupérer des informations sans mouvementer des fonds et permettre ainsi aux utilisateurs de leurs services de disposer dans une même interface de toutes leurs données de paiement. C’est donc une sorte de cousin éloigné du web scraping.
La directive PSD2 (Dir. (UE) 2015/2366, 25 nov. 2015, concernant les services de paiement dans le marché intérieur, JOUE 23 déc. 2015, n° L 337/35) prévoit que les banques doivent partager avec des tierces parties les données relatives aux paiements du client lorsque celles-ci le demandent et autorise donc le screen scraping. Les établissements bancaires et financiers contestaient depuis un certain temps cette pratique. Ils dénonçaient une faille de sécurité et le non-respect des conditions d’utilisation de leur espace banque en ligne.
Au niveau européen, il y a donc une incertitude puisque, par nature, le screen scraping est autorisé. Face aux mécontentements, les institutions cherchent cependant à trouver un juste équilibre.
Et s’il s’agissait de web scraper des simples données ? La solution retenue serait-elle si souple ? Au regard de la jurisprudence citée précédemment, la réponse semble négative. Un exemple américain mène aussi à des interrogations.
Aux États-Unis, une décision du 14 août 2017 du juge de l’US District Court du District Nord de Californie a fait droit à une startup qui collectait exclusivement des informations issues des profils publics Linkedln des salariés d’une entreprise, en recourant à des pratiques de web scraping.
Linkedln demandait à cette dernière de cesser cette pratique, aux motifs qu’elle violerait les conditions d’utilisation du site et la loi du Computer Fraud and Abuse Act de 1986.
La Cour a considéré que, comme les données figurant sur les profils des utilisateurs Linkedln sont publiques, elles peuvent être librement collectées via web scraping. Ici, c’est le terme « public » qui est déterminant dans la détermination de la légalité du web scraping (United States district court, Northern district of california, Hiq labs, inc., Plaintiff, v. Linkedin corporation, Defendant, case n° 17-cv-03301-EMC).
Les juges français suivront-ils la voie de la souplesse, à l’instar des droits européens et californiens ? Rien n’est moins sûr…
Le traitement du web scraping en droit français
Au regard de la législation française, la pratique du web scraping pose des difficultés, notamment au regard du droit pénal, droit de la concurrence et de la propriété intellectuelle.
Côté droit pénal.- Toutes les branches du droit français n’appréhendent pas de la même manière le web scraping. Le droit pénal, pour sa part, condamne cette technique. L’article 323-3 du Code pénal prévoit en effet que « le fait d'introduire frauduleusement des données dans un système de traitement automatisé, d'extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu'il contient est puni de cinq ans d'emprisonnement et de 150 000 € d'amende. Lorsque cette infraction a été commise à l'encontre d'un système de traitement automatisé de données à caractère personnel mis en œuvre par l'État, la peine est portée à sept ans d'emprisonnement et à 300 000 € d'amende ».
Si son auteur avait conscience de commettre un acte répréhensible, l’intention frauduleuse est caractérisée. Le web scraping pourra alors être sanctionné pénalement.
Qu’en est-il, maintenant, au regard du droit de la concurrence et du droit de la propriété intellectuelle ?
Côté droit de la concurrence.- La personne ayant recouru au web scraping n’a pas effectué les mêmes efforts que le titulaire du site web pour collecter ces données. Le web scraping pourrait donc constituer un acte de concurrence déloyale au sens de l’article L. 121-1 du Code de la consommation de nature à causer un préjudice au titulaire du site.
Plus précisément, le web scraping s’assimilerait, en l’espèce, à un acte de parasitisme sanctionné sur le fondement de l’article 1240 du Code civil. En effet, l’agent économique s’immisce dans le sillage du titulaire du site web et tire profit, sans rien dépenser, de ses efforts, de son savoir-faire et de sa notoriété.
C’est donc l’utilisation des données parasitées qui est réprimée et non la pratique en elle-même.
Côté droit de la propriété intellectuelle.- En droit d’auteur, l’article L. 342-1 du Code la propriété intellectuelle dispose que « Le producteur de base de données à le droit d’interdire l’extraction par transfert permanent ou temporaire de la totalité ou d’une partie qualitativement ou quantitativement substantielle du contenu d’une base de données sur un autre support, par tout moyen et sous toute forme que ce soit ».
Les juges ont appliqué ce principe à plusieurs reprises. À titre d’exemple, dans un litige opposant Ryanair à Opodo, la cour d’appel de Paris a confirmé la décision du tribunal de commerce de Paris, en validant l’activité de screen scraping pratiquée par Opodo, aux motifs que la transformation réalisée sur les données screen scrapées était suffisante (CA Paris, 23 mars 2012, pôle 5, ch. 2, Ryanair v. Opodo).
En droit de la propriété intellectuelle, ce ne serait donc pas le web scraping en tant que tel qui serait sanctionné, mais l’utilisation, sans modification substantielle, des données scrapées.
Le sort du web scraping à l’étranger
Et à l’étranger, quand est-il du web scraping ?
Dans un litige opposant la société Wegener et la société Innoweb (CJUE, 19 déc. 2013, n° C-202/12, Innoweb BV v. Wegener ICT Media BV, Wegener Mediaventions BV), la Cour de justice de l’Union européenne a interprété la directive 96/9/CE du Parlement européen et du Conseil (Dir. n° 96/9/CE, 11 mars 1996, JOCE 17 mars 1996, n° L 77/20) concernant la protection juridique des bases de données. Rappelons que cette directive prévoit notamment que : « les États membres prévoient pour le fabricant d'une base de données le droit d'interdire l'extraction et/ou la réutilisation de la totalité ou d'une partie substantielle, évaluée de façon qualitative ou quantitative, du contenu de celle-ci, lorsque l'obtention, la vérification ou la présentation de ce contenu attestent un investissement substantiel du point de vue qualitatif ou quantitatif » (Dir. n° 96/9/CE, 11 mars 1996, précitée, art. 7.1) étant précisé que « L'extraction et/ou la réutilisation répétées et systématiques de parties non substantielles du contenu de la base de données qui supposeraient des actes contraires à une exploitation normale de cette base, ou qui causeraient un préjudice injustifié aux intérêts légitimes du fabricant de la base, ne sont pas autorisées » (Dir. n° 96/9/CE, 11 mars 1996, précitée, art. 7.5). En l’espèce, Innoweb, au moyen de son site Internet, exploitait un métamoteur de recherche dédié permettant d’effectuer des recherches sur des sites Internet de tiers, et notamment sur celui proposé par Wegener, qui contenait des recueils d’annonces de vente de voitures. La Cour de justice a donné droit au plaignant, estimant que l’utilisation d’un méta-moteur de recherche constituait une réutilisation d’une partie substantielle du contenu de la base de données sans aucune action de modifications (CJUE, 19 déc. 2013, n° C-202/12, précité, §54).
Ici encore, c’est l’acte d’utilisation des données scrapées qui est réprimé. En l’espèce, la Cour reprend la décision des juges français de 2012 (CA Paris, 23 mars 2012, pôle 5, ch. 2, Ryanair v. Opodo, précité).
Cependant, l’Autorité bancaire européenne a apporté un élément supplémentaire dans son avis du 29 juin 2017 relatif à la prochaine application de la deuxième directive sur les services de paiements PSD2 (Autorité bancaire européenne, 29 juin 2017, EBA/Op/2017/09), l’Autorité bancaire européenne affirme l’interdiction de la technologie du web scraping et oblige, à la place, les banques à construire des interfaces de programmation dédiées aux tiers mais énonce une réserve en émettant la possibilité pour les agrégateurs de paiement de pratiquer le screen-scraping "en solution de secours".
Le screen scraping, consiste pour des agrégateurs de comptes de paiement, à s’introduire sur un compte pour récupérer des informations sans mouvementer des fonds et permettre ainsi aux utilisateurs de leurs services de disposer dans une même interface de toutes leurs données de paiement. C’est donc une sorte de cousin éloigné du web scraping.
La directive PSD2 (Dir. (UE) 2015/2366, 25 nov. 2015, concernant les services de paiement dans le marché intérieur, JOUE 23 déc. 2015, n° L 337/35) prévoit que les banques doivent partager avec des tierces parties les données relatives aux paiements du client lorsque celles-ci le demandent et autorise donc le screen scraping. Les établissements bancaires et financiers contestaient depuis un certain temps cette pratique. Ils dénonçaient une faille de sécurité et le non-respect des conditions d’utilisation de leur espace banque en ligne.
Au niveau européen, il y a donc une incertitude puisque, par nature, le screen scraping est autorisé. Face aux mécontentements, les institutions cherchent cependant à trouver un juste équilibre.
Et s’il s’agissait de web scraper des simples données ? La solution retenue serait-elle si souple ? Au regard de la jurisprudence citée précédemment, la réponse semble négative. Un exemple américain mène aussi à des interrogations.
Aux États-Unis, une décision du 14 août 2017 du juge de l’US District Court du District Nord de Californie a fait droit à une startup qui collectait exclusivement des informations issues des profils publics Linkedln des salariés d’une entreprise, en recourant à des pratiques de web scraping.
Linkedln demandait à cette dernière de cesser cette pratique, aux motifs qu’elle violerait les conditions d’utilisation du site et la loi du Computer Fraud and Abuse Act de 1986.
La Cour a considéré que, comme les données figurant sur les profils des utilisateurs Linkedln sont publiques, elles peuvent être librement collectées via web scraping. Ici, c’est le terme « public » qui est déterminant dans la détermination de la légalité du web scraping (United States district court, Northern district of california, Hiq labs, inc., Plaintiff, v. Linkedin corporation, Defendant, case n° 17-cv-03301-EMC).
Les juges français suivront-ils la voie de la souplesse, à l’instar des droits européens et californiens ? Rien n’est moins sûr…
Source : Actualités du droit
