Meta a déclaré qu'il poursuivait Voyager Labs, un service de scraping-for-hire, pour avoir prétendument utilisé de faux comptes, des logiciels propriétaires et un réseau tentaculaire d'adresses IP pour collecter subrepticement d'énormes quantités de données personnelles auprès des utilisateurs de Facebook, Instagram, Twitter et d'autres réseaux sociaux ou sites de mise en réseau.« Le défendeur a créé et utilisé plus de 38 000 faux comptes d'utilisateurs Facebook et son logiciel de surveillance pour récupérer les informations de profil visibles de plus de 600 000 utilisateurs de Facebook, y compris les publications, les goûts, les listes d'amis, les photos et les commentaires, ainsi que les informations des groupes et pages Facebook », ont déclaré les avocats dans la plainte de Meta. « Le défendeur a conçu le logiciel de surveillance pour dissimuler sa présence et son activité à Meta et à d'autres, et a vendu et concédé sous licence à des fins lucratives les données qu'il a récupérées ».
Le web scraping (parfois appelé harvesting) est une technique d'extraction du contenu de sites Web, via un script ou un programme, dans le but de le transformer pour permettre son utilisation dans un autre contexte comme l'enrichissement de bases de données, le référencement ou l'exploration de données.
Voyager Labs, qui fournit un service de scraping-for-hire, loue donc ses outils pour récolter des données.
Quant à savoir si le scraping est légal, la réponse dépend de la position géographique.
Aux États-Unis, la société hiQ Labs utilise le web scraping sur les données de LinkedIn à des fins de recrutement. À la suite d'un procès, la Cour d'appel des États-Unis pour le neuvième circuit donne raison à hiQ en septembre 2019 : la cour considère notamment que les utilisateurs conservent la propriété de leurs profils, et que les données étant librement diffusées sur Internet, elles peuvent être collectées. L'affaire est ensuite portée devant la Cour suprême qui rendra son verdict en novembre 2022 en faveur du réseau social LinkedIn sur décision du juge Edward Chen, invoquant le fait que hiQ pratique la rétro-ingénierie afin de contourner sciemment et de manière répétée les protections contre les robots en simulant des utilisateurs humains.
Du côté de la France, le 30 avril 2020, la CNIL a publié de nouvelles directives sur le web scraping. Les lignes directrices de la CNIL précisent que les données accessibles au public sont toujours des données personnelles et qu'elles ne peuvent pas être réutilisées à l'insu de la personne à laquelle ces données appartiennent.
En décembre 2021, une start-up de la Station F est condamnée pour piratage informatique. À l'aide d'une technique de web scraping, elle a récolté des données de l'annuaire d'une école de commerce parisienne, afin de solliciter les anciens élèves de l'établissement en vue d'alimenter un financement participatif. La condamnation porte sur la méthode d'accès à la donnée, c'est-à-dire une usurpation d'identité permettant un « accès frauduleux à un système de traitement automatisé de données », et non le web scraping lui-même.
« Mettre en lumière l'individualité »
Parmi les utilisateurs de Facebook basés en Californie dont les données ont été supprimées, a déclaré Meta, se trouvaient « des employés d'organisations à but non lucratif, d'universités, d'organismes de presse, d'établissements de soins de santé, des forces armées des États-Unis et d'agences gouvernementales locales, étatiques et fédérales, ainsi que des parents à temps plein, des retraités et des syndiqués ». Meta a déclaré que la collecte de données et l'utilisation de faux comptes violent ses conditions d'utilisation.
Voyager Labs, dont le siège est en Israël, se présente comme un service « d'enquêtes alimentées par l'IA » qui collecte des données à partir de « milliards de "pixels humains" et de signaux » et utilise l'intelligence artificielle pour cartographier les relations, suivre les emplacements géographiques et fournir d'autres données personnelles aux « agences chargées de la sécurité publique ».
« En tirant parti de ce vaste océan de données, ils peuvent obtenir des informations exploitables sur des individus, des groupes et des sujets, puis plonger en profondeur pour en découvrir encore plus », ont écrit les responsables de l'entreprise dans des documents marketing joints à la plainte Meta. Le slogan sur le papier à en-tête de Voyager Labs est : « Mettre en lumière l'individualité ».
Dans un cas, le service a utilisé des publications sur Facebook pour identifier les noms complets d'un marathonien italien et de sa femme qui avaient été infectés par le COVID-19. Le service a ensuite fourni une liste des amis et des personnes qui avaient interagi avec le coureur. Dans un cas différent, Voyager Labs a identifié les clients d'un pub britannique qui pourraient avoir contracté le virus mortel.
Parmi les clients de Voyager Labs, selon les pièces à conviction, se trouve le département de police de Los Angeles. Un témoignage fourni par un membre du département a déclaré que Voyager Labs était « capable d'identifier quelques nouvelles cibles dans un format beaucoup plus facile à lire » et était « capable de traiter les retours de mandats beaucoup plus rapidement, ce qui était beaucoup plus facile à lire ».
Meta demande une injonction permanente qui empêcherait Voyager Labs de poursuivre la pratique.
Dans l'annonce du procès, Jessica Romero, Meta Director of Platform Enforcement and Litigation, a écrit :
Voyager a développé et utilisé un logiciel propriétaire pour lancer des campagnes de scraping sur Facebook et Instagram, et des sites Web tels que Twitter, YouTube, LinkedIn et Telegram. Voyager a conçu son logiciel de scraping pour utiliser de faux comptes afin de scraper les données accessibles à un utilisateur lorsqu'il est connecté à Facebook, y compris les informations de profil des utilisateurs, les publications, les listes d'amis, les photos et les commentaires. Voyager a utilisé un système diversifié d'ordinateurs et de réseaux dans différents pays pour cacher son activité, y compris lorsque Meta a soumis les faux comptes à des vérifications ou des contrôles. Voyager n'a pas compromis Facebook, mais a plutôt utilisé de faux comptes pour récupérer des informations accessibles au public.
Notre action en justice allègue que Voyager a violé nos conditions d'utilisation contre les faux comptes et le scraping non autorisé et automatisé. Nous recherchons une injonction permanente contre Voyager pour protéger les personnes contre les services de scraping. Des entreprises comme Voyager font partie d'une industrie qui fournit des services de scraping à n'importe qui, quels que soient les utilisateurs qu'ils ciblent et indépendamment du but, y compris comme moyen de profiler les personnes pour un comportement criminel. Cette industrie collecte secrètement des informations que les gens partagent avec leur communauté, leur famille et leurs amis, sans surveillance ni responsabilité, et d'une manière qui peut impliquer les droits civils des personnes.
Notre action en justice allègue que Voyager a violé nos conditions d'utilisation contre les faux comptes et le scraping non autorisé et automatisé. Nous recherchons une injonction permanente contre Voyager pour protéger les personnes contre les services de scraping. Des entreprises comme Voyager font partie d'une industrie qui fournit des services de scraping à n'importe qui, quels que soient les utilisateurs qu'ils ciblent et indépendamment du but, y compris comme moyen de profiler les personnes pour un comportement criminel. Cette industrie collecte secrètement des informations que les gens partagent avec leur communauté, leur famille et leurs amis, sans surveillance ni responsabilité, et d'une manière qui peut impliquer les droits civils des personnes.
Le procès signe au moins la deuxième fois que Meta intente une action en justice pour scraping de données sur sa plate-forme. En juillet, la société a poursuivi Octopus, une filiale américaine d'une entreprise nationale chinoise de haute technologie qui aurait proposé de supprimer n'importe quel site Web, et a poursuivi un individu basé en Turquie, le défendeur Ekrem Ateş, pour avoir prétendument utilisé des comptes Instagram pour supprimer des données des profils de plus de 350 000 utilisateurs de cette plateforme.
Octopus : scraping à louer
La première action est contre une société appelée Octopus, une filiale américaine d'une entreprise nationale chinoise de haute technologie qui prétend avoir plus d'un million de clients. Octopus propose des services de scraping et un accès à des logiciels que les clients peuvent utiliser pour scraper n'importe quel site Web. Moyennant des frais, les clients d'Octopus peuvent lancer des attaques de scraping à partir de sa plate-forme basée sur le cloud ou louer Octopus pour scraper directement des sites Web. Octopus propose de récupérer les données d'Amazon, eBay, Twitter, Yelp, Google, Target, Walmart, Indeed, LinkedIn, Facebook et Instagram.
Après avoir payé l'accès au logiciel de scraping, les clients ont compromis leurs comptes Facebook et Instagram en fournissant leurs informations d'authentification à Octopus. Octopus a conçu le logiciel pour récupérer les données accessibles à l'utilisateur lorsqu'il est connecté à son compte, y compris les données sur ses amis Facebook telles que l'adresse e-mail, le numéro de téléphone, le sexe et la date de naissance, ainsi que les abonnés Instagram et les informations d'engagement telles que le nom d'utilisateur, l'URL du profil, l'emplacement et nombre de likes et de commentaires par publication.
Meta est un chef de file de l'industrie en matière d'action en justice pour protéger les personnes contre le scraping et l'exposition de ces types de services, qui fournissent le scraping en tant que service sur plusieurs sites Web. Des entreprises comme Octopus font partie d'une industrie émergente du scraping qui fournit des services d'automatisation à n'importe quel client, peu importe qui ils ciblent et indépendamment du but. Cette industrie met le scraping à la disposition des particuliers et des entreprises qui, autrement, n'en auraient pas les capacités.
Notre action en justice allègue qu'Octopus a violé nos conditions d'utilisation et le Digital Millennium Copyright Act, en se livrant à un scraping non autorisé et automatisé et en tentant de dissimuler leur scraping et d'éviter d'être détecté et bloqué par Facebook et Instagram. Nous demandons une injonction permanente contre Octopus. Protéger les personnes contre les services de scraping à louer, opérant sur de nombreuses plateformes et frontières nationales, nécessite également un effort collectif de la part des plateformes, des décideurs politiques et de la société civile et est nécessaire pour dissuader l'abus de ces capacités à la fois par ceux qui les vendent et ceux qui les achètent.
Mystalk : Cibler les sites clones
Nous avons également intenté une action contre un individu basé en Turquie, l'accusé Ekrem Ateş, pour avoir utilisé des comptes Instagram automatisés pour extraire des données des profils de plus de 350 000 utilisateurs d'Instagram. Ces profils étaient visibles pour les utilisateurs Instagram connectés. Le défendeur a publié les données extraites sur ses propres sites Web ou "sites clones". Un site clone est un site Web qui copie et affiche des profils Instagram, des publications et d'autres informations sans autorisation. Notre équipe d'utilisation abusive des données externes a fourni un aperçu de la façon dont nous travaillons pour protéger les personnes contre les sites de clonage.
Depuis février 2021, nous avons pris un certain nombre de mesures d'exécution contre ce défendeur, notamment la désactivation de comptes, l'envoi d'une lettre de cessation et de désistement et la révocation de son accès aux services de Meta.
La première action est contre une société appelée Octopus, une filiale américaine d'une entreprise nationale chinoise de haute technologie qui prétend avoir plus d'un million de clients. Octopus propose des services de scraping et un accès à des logiciels que les clients peuvent utiliser pour scraper n'importe quel site Web. Moyennant des frais, les clients d'Octopus peuvent lancer des attaques de scraping à partir de sa plate-forme basée sur le cloud ou louer Octopus pour scraper directement des sites Web. Octopus propose de récupérer les données d'Amazon, eBay, Twitter, Yelp, Google, Target, Walmart, Indeed, LinkedIn, Facebook et Instagram.
Après avoir payé l'accès au logiciel de scraping, les clients ont compromis leurs comptes Facebook et Instagram en fournissant leurs informations d'authentification à Octopus. Octopus a conçu le logiciel pour récupérer les données accessibles à l'utilisateur lorsqu'il est connecté à son compte, y compris les données sur ses amis Facebook telles que l'adresse e-mail, le numéro de téléphone, le sexe et la date de naissance, ainsi que les abonnés Instagram et les informations d'engagement telles que le nom d'utilisateur, l'URL du profil, l'emplacement et nombre de likes et de commentaires par publication.
Meta est un chef de file de l'industrie en matière d'action en justice pour protéger les personnes contre le scraping et l'exposition de ces types de services, qui fournissent le scraping en tant que service sur plusieurs sites Web. Des entreprises comme Octopus font partie d'une industrie émergente du scraping qui fournit des services d'automatisation à n'importe quel client, peu importe qui ils ciblent et indépendamment du but. Cette industrie met le scraping à la disposition des particuliers et des entreprises qui, autrement, n'en auraient pas les capacités.
Notre action en justice allègue qu'Octopus a violé nos conditions d'utilisation et le Digital Millennium Copyright Act, en se livrant à un scraping non autorisé et automatisé et en tentant de dissimuler leur scraping et d'éviter d'être détecté et bloqué par Facebook et Instagram. Nous demandons une injonction permanente contre Octopus. Protéger les personnes contre les services de scraping à louer, opérant sur de nombreuses plateformes et frontières nationales, nécessite également un effort collectif de la part des plateformes, des décideurs politiques et de la société civile et est nécessaire pour dissuader l'abus de ces capacités à la fois par ceux qui les vendent et ceux qui les achètent.
Mystalk : Cibler les sites clones
Nous avons également intenté une action contre un individu basé en Turquie, l'accusé Ekrem Ateş, pour avoir utilisé des comptes Instagram automatisés pour extraire des données des profils de plus de 350 000 utilisateurs d'Instagram. Ces profils étaient visibles pour les utilisateurs Instagram connectés. Le défendeur a publié les données extraites sur ses propres sites Web ou "sites clones". Un site clone est un site Web qui copie et affiche des profils Instagram, des publications et d'autres informations sans autorisation. Notre équipe d'utilisation abusive des données externes a fourni un aperçu de la façon dont nous travaillons pour protéger les personnes contre les sites de clonage.
Depuis février 2021, nous avons pris un certain nombre de mesures d'exécution contre ce défendeur, notamment la désactivation de comptes, l'envoi d'une lettre de cessation et de désistement et la révocation de son accès aux services de Meta.
Voyager LabsSources : plainte de Meta, communiqué de Meta au sujet d'Octopus
Et vous ?
Que pensez-vous de Voyager Labs en particulier et des services de scraping à louer en général ? Penchez-vous plutôt du côté de Meta, qui estime que le scraping automatisé en passant via des comptes factices est contraire à ses politiques d'utilisation, ou validez vous plutôt les propos de ceux qui pensent que les informations définies comme étant « publiques » peuvent être collectées sans être tributaires de la manière ?