PFPDT et al. : Décla­ra­ti­on com­mu­ne sur le “data scra­ping” et la pro­tec­tion des données

FR 
FR  DE  EN 

de

sur le site

Bran­ches

Auto­ri­té

Lois

Thè­mes

,
Ven­te à emporter (AI)
  • Neuf auto­ri­tés de pro­tec­tion des don­nées publi­ent un avis com­mun sur le data scra­ping auto­ma­ti­sé et s’adres­sent aux gran­des ent­re­pri­ses tech­no­lo­gi­ques com­me suspects.
  • Les don­nées acce­s­si­bles au public sont éga­le­ment sou­mi­ses à des obli­ga­ti­ons de pro­tec­tion des don­nées pour les coll­ec­teurs et les publi­ants de don­nées, le droit sui­s­se souli­gne une exemp­ti­on limitée.
  • Les don­nées scan­nées com­portent des ris­ques tels que l’u­sur­pa­ti­on d’i­den­ti­té, la sur­veil­lan­ce par agré­ga­ti­on, la recon­nais­sance facia­le faci­li­tée ain­si que l’ac­cès abu­sif des auto­ri­tés et le spam.
  • Les explo­itants doi­vent prend­re des mesu­res de pro­tec­tion tech­ni­ques et orga­ni­sa­ti­on­nel­les ; les par­ti­cu­liers se pro­tègent par des infor­ma­ti­ons sur la pro­tec­tion des don­nées et un par­ta­ge modéré.

Un grou­pe éclec­tique de neuf auto­ri­tés de pro­tec­tion des don­nées – le PFPDT et des auto­ri­tés d’Au­stra­lie, du Cana­da, du Royau­me-Uni, de Hong-Kong, de Nor­vè­ge, de Nou­vel­le-Zélan­de, de Colom­bie, de Jer­sey, du Maroc, d’Ar­gen­ti­ne et du Mexi­que – ont avis com­mun sur le data scra­ping c’est-à-dire pour l’ex­tra­c­tion auto­ma­ti­sée de don­nées de pages web. Cela se pro­dui­rait de plus en plus sou­vent et les suspects sont Alpha­bet (pour You­Tube), Byte­Dance (pour Tik­Tok), Meta (pour Insta­gram, Face­book et Threads), Micro­soft (pour Lin­ke­dIn), Sina (pour Wei­bo) et X Corp (pour Twit­ter ou main­tenant “X”), à qui la décla­ra­ti­on a été envoyée.

L’a­vis est donc rédi­gé de maniè­re géné­ri­que. En sub­stance, il dit que tant l’entre­pri­se qui obti­ent des don­nées d’In­ter­net que cel­le qui les publie doi­vent être en mesu­re de les uti­li­ser, obli­ga­ti­ons en matiè­re de pro­tec­tion des don­nées même si les don­nées sont en fait publi­ques. En droit sui­s­se, cela est vrai dans la mesu­re où l’exemp­ti­on de trai­te­ment des don­nées publi­ques a une por­tée limi­tée et est sou­vent surestimée.

Ce faisant, les auto­ri­tés font cer­tai­nes Ris­ques à par­tir de. Les don­nées scan­nées – il man­que sans dou­te un ter­me fran­çais – peu­vent être uti­li­sées pour des atta­ques et des usur­pa­ti­ons d’i­den­ti­té, et leur agré­ga­ti­on crée un ris­que de sur­veil­lan­ce – par exemp­le par une recon­nais­sance facia­le faci­li­tée – et d’ac­cès par les auto­ri­tés qui s’in­té­res­sent à de tels pools de don­nées, y com­pris à des fins poli­ti­ques ou de rens­eig­ne­ment. Le spam con­sti­tue éga­le­ment un risque.

Qui­con­que publie des don­nées doit donc se pré­mu­nir cont­re le scra­ping. pro­tègentLes mesu­res de sécu­ri­té doi­vent être pri­ses en comp­te, notam­ment par une limi­ta­ti­on tech­ni­que des accès fré­quents ou suspects, par des mesu­res d’au­to­ri­sa­ti­on tel­les que les captchas et par des mesu­res orga­ni­sa­ti­on­nel­les tel­les que des aver­tis­se­ments cont­re les scra­pers. Si le droit appli­ca­ble con­sidè­re un scra­ping com­me une vio­la­ti­on de la sécu­ri­té – ce qui pré­sup­po­se, selon la LPD, que des mesu­res de sécu­ri­té ont été pri­ses -, il peut être néces­saire de pro­cé­der à une notification.

Les par­ti­cu­liers peu­vent éga­le­ment se pro­té­ger, par exemp­le en lisant les décla­ra­ti­ons de pro­tec­tion des don­nées des explo­itants de sites web (enco­re une rai­son de lire les décla­ra­ti­ons de pro­tec­tion des don­nées !) et sur­tout en par­ta­geant moins.