HiQ effectue du web scraping de profils publics des utilisateurs de LinkedIn, puis les utilise pour aider les entreprises à mieux comprendre leurs propres effectifs. Le web scraping est une technique permettant l'extraction des données d'un site via un programme, un logiciel automatique ou un autre site. L'objectif est donc d'extraire le contenu d'une page d'un site de façon structurée. Le scraping permet ainsi de pouvoir réutiliser ces données.
Après avoir toléré les activités de web scraping de hiQ pendant plusieurs années, LinkedIn a envoyé à la société une lettre de cessation et d'abstention en 2017 lui demandant de cesser de collecter des données à partir de profils LinkedIn. LinkedIn a notamment fait valoir que hiQ violait la Computer Fraud and Abuse Act, la principale loi antipiratage des États-Unis.
La Computer Fraud and Abuse Act (CFAA) est une loi du gouvernement fédéral américain mise en vigueur en 1986 qui porte sur la sécurité des systèmes d'information. Il s'agit d'un amendement à une loi sur les fraudes informatiques qui fait maintenant partie du Comprehensive Crime Control Act of 1984. Cette loi interdit tout accès à un ordinateur sans autorisation préalable ou tout accès qui excède les autorisations.
Cela représentait une menace existentielle pour hiQ car le site Web de LinkedIn est la principale source de données de hiQ sur les employés de ses clients. HiQ a donc poursuivi LinkedIn en justice, cherchant non seulement à déclarer que ses activités de web scraping ne constituaient pas un piratage, mais également une ordonnance interdisant à LinkedIn d’interférer.
hiQ n'a pas violé les lois antipiratage
Un tribunal de première instance s’est rangé du côté de hiQ en 2017. Début septembre 2019, la Cour d’appel du 9e circuit a entériné la décision de la juridiction inférieure, estimant que la loi sur la fraude et les abus informatiques ne s’appliquait tout simplement pas aux informations accessibles au grand public.
« La CFAA a été promulguée pour empêcher toute intrusion intentionnelle dans l'ordinateur de quelqu'un d'autre, notamment le piratage informatique », a écrit un panel de trois juges. La cour a noté que lorsque les législateurs débattaient de cette loi, des analogies avec des crimes physiques tels que l'introduction par effraction ont été faites à plusieurs reprises. Du point de vue du neuvième circuit, cela implique que la CFAA ne s’applique qu’aux systèmes d’information ou informatiques qui étaient au départ privés, ce que les propriétaires de sites Web signalent généralement avec un mot de passe.
La cour a rappelé que, lorsque la CFAA a été adoptée, dans les années 80, elle ne s'appliquait qu'à certaines catégories d'ordinateurs contenant des données militaires, financières ou autres.
« Aucun des ordinateurs auxquels la CFAA avait initialement été appliquée n'était accessible au grand public », a écrit le tribunal. « Une autorisation affirmative quelconque était vraisemblablement requise ».
Lorsque la loi a été étendue à un plus grand nombre d'ordinateurs en 1996, un rapport du Sénat a déclaré que son objectif était « d'accroître la protection de la vie privée et la confidentialité des informations numériques ». En conséquence, le neuvième circuit explique que « l'interdiction des accès non autorisés est bien comprise comme s'appliquant uniquement aux informations privées - les informations définies comme privées par le biais d'une autorisation quelconque ».
En revanche, hiQ ne fait que « récolter » des informations des profils LinkedIn publics. Par définition, tout membre du public a l'autorisation d'accéder à ces informations. LinkedIn a fait valoir qu'il pouvait révoquer sélectivement cette autorisation en utilisant une lettre de cessation et d'abstention. Mais le 9e circuit a trouvé cet argument peu convaincant. Ignorer une lettre de cessation et d'abstention n’est pas assimilable à du piratage informatique.
LinkedIn invité à ne pas interférer dans les activités de Web scraping de hiQ pendant la bataille juridique
La cour d'appel a également confirmé une ordonnance d'un tribunal inférieur interdisant à LinkedIn d'interférer dans les activités de Web scraping de hiQ.
HiQ affirme que si LinkedIn commençait à utiliser des mesures techniques pour empêcher hiQ de collecter des données des utilisateurs de LinkedIn, alors LinkedIn s'immiscerait dans les contrats de hiQ avec ses propres clients, qui s'appuient sur ces données. HiQ a noté que LinkedIn acceptait tacitement ses activités de collecte de données depuis plusieurs années, au point où LinkedIn envoyait des représentants à des conférences hiQ où hiQ expliquait ouvertement que ses produits étaient basés sur les données de LinkedIn.
LinkedIn a fait valoir la nécessité de limiter la collecte de données pour protéger la vie privée de ses propres utilisateurs. Mais hiQ a rétorqué que les données n'appartenaient pas à LinkedIn, mais à ses utilisateurs, qui ont explicitement marqué les données comme étant publiques. HiQ ne collecte pas de données sur les profils LinkedIn non publics. HiQ indique également que LinkedIn n'a commencé à s'y opposer qu'au moment où LinkedIn a lancé ses propres outils d'analyse concurrençant ses offres.
Le verdict final
La 9e Cour d’appel du circuit des États-Unis a confirmé l’injonction préliminaire d’août 2017 exigeant que LinkedIn, une unité de Microsoft Corp comptant plus de 645 millions de membres, permette à hiQ Labs Inc d’avoir accès aux profils de membres disponibles au public. La décision à l'unanimité de la cour d’appel de San Francisco a penché en faveur de hiQ sur la question du Web scraping qui, selon les critiques, peut être assimilé à un vol ou à la violation de la vie privée des utilisateurs.
Marsha Berzon, juge de circuit, a déclaré que hiQ a fait savoir qu'il faisait face à un préjudice irréparable en l'absence d'injonction, car il risquait de fermer ses portes s'il se voyait bloquer l'accès. Elle a également déclaré que donner à des entreprises telles que LinkedIn la liberté de choisir qui peut utiliser les données publiques des utilisateurs risquait de créer des « monopoles de l'information » préjudiciables à l'intérêt public.
« LinkedIn n'a aucun intérêt de propriété protégée dans les données fournies par ses utilisateurs, car les utilisateurs conservent la propriété de leurs profils », a écrit Berzon. « Et en ce qui concerne les profils accessibles au public, les utilisateurs souhaitent bien évidemment que d'autres puissent y accéder », y compris les employeurs potentiels.
Dans un communiqué, LinkedIn s'est dit déçu de la décision et de l'évaluation de ses options et a affirmé avoir l'intention de se battre « pour protéger nos membres et les informations qu'ils nous confient ». Craigslist, le site Web de petites annonces, avait soutenu l'appel de LinkedIn, avertissant que l'injonction pourrait avoir un « impact dangereux » en permettant aux « mauvais acteurs » de trouver plus facilement des cibles pour le marketing par courrier électronique, par SMS ou par téléphone.
Berzon a toutefois précisé que hiQ avait soulevé de sérieuses questions sur la conduite de LinkedIn, notamment sur le fait de savoir s'il pouvait invoquer une loi fédérale contre la fraude et les abus informatiques pour empêcher les « utilisateurs clandestins » d'accéder aux données des utilisateurs. « Bien sûr, LinkedIn pourrait répondre à sa préoccupation concernant les "utilisateurs clandestins" en supprimant l’option d’accès public, même si cela a un coût pour les préférences de nombreux utilisateurs et, éventuellement, pour ses propres résultats », a-t-elle écrit.
Source : Reuters
Et vous ?
Que pensez-vous du Web scraping ? L'avez-vous déjà fait ?
Le Web scraping sur des informations explicitement définies comme étant publiques doit-il être prohibé ? Pourquoi ?
Que pensez-vous de l'affirmation de hiQ qui rappelle que ces données appartiennent aux utilisateurs LinkedIn et non à LinkedIn ?
hiQ doit-il donc chercher à obtenir le consentement explicite de l'utilisateur ou ce consentement peut-être supposé dans la mesure où les informations sont définies comme étant publiques ?
Une Cour de justice estime qu'il n'est pas illégal de collecter des données publiques d'un site
Pour les utiliser dans ses activités
Une Cour de justice estime qu'il n'est pas illégal de collecter des données publiques d'un site
Pour les utiliser dans ses activités
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !