Scraping : LinkedIn à nouveau freiné dans son combat
LinkedIn enregistre un nouveau jugement à son encontre dans son combat contre une entreprise collectant les données de ses profils publics.
Au sens de la législation californienne, que recoupe l'accès « sans autorisation » à des systèmes informatiques ? Sur place, la Cour d'appel a dû en juger. Le contexte : un litige dans lequel elle s'était déjà prononcée en 2019. Il oppose LinkedIn à hiQ Labs.
Cette entreprise fondée en 2012 récupère des informations sur les profils publics, les met en forme et les commercialise, sous l'angle de l'analyse prédictive. Sa cible : les employeurs. Avec des produits qui doivent leur permettre de cartographier les compétences (Skill Mapper) et de détecter le personnel qui envisage de mettre les voiles (Keeper).
En 2017, LinkedIn avait formellement demandé à hiQ de cesser la pratique, au nom du Computer Fraud and Abuse Act (CFAA). Le texte, en vigueur depuis 1986, punit le fait d'accéder à un ordinateur sans permission ou d'utiliser à outrance un accès autorisé.
Lire aussi : En attendant l'EUCS, Gaia-X donne un cap
Face à cette injonction, hiQ avait saisi la justice en Californie pour tenter de prouver que son activité était légale. Et l'avait emporté.
LinkedIn avait fait appel. En septembre 2019, la Cour d'appel l'avait débouté. Entre autres pour les motifs suivants :
- Le réseau social n'a pas les droits sur les données que publient ses membres, ces derniers étant propriétaires de leurs profils.
- Les utilisateurs qui choisissent un profil public attendent « évidemment » qu'il soit accessible par des tiers.
- Le CFAA est censé régir les cas de piratage ; il est d'autant plus discutable de l'invoquer dans une affaire concernant des données en accès libre.
- Laisser à LinkedIn le contrôle sur l'utilisation des données publiques pourrait engendrer un « monopole de l'information » préjudiciable à l'intérêt public
- Sans accès aux données concernées, hiQ ferait face à des « dommages irréparables »
LinkedIn évoque un intérêt économique légitime...
La procédure était remontée jusqu'à la Cour suprême, qui avait donné raison à LinkedIn. En toile de fond, une décision qu'elle avait rendue quelques semaines plus tôt... et qui impliquait une lecture du CFAA autre que celle de la Cour d'appel. En l'occurrence, sous l'angle de l'usage abusif d'un accès autorisé - et, en conséquence, des mesures techniques que LinkedIn avait mises en place contre les bots de hiQ. L'affaire concernait un officier de police qui avait utilisé une base de données gouvernementale pour mener une enquête de sa propre initiative.
À nouveau sollicitée, la Cour d'appel a maintenu sa position initiale. Elle s'est prononcée sur deux éléments en particulier. D'un côté, l'existence d'une perturbation de la relation contractuelle entre hiQ et ses clients. De l'autre, l'applicabilité du CFAA, principal axe de défense de LinkedIn.
Lire aussi : Coder avec l'IA : les lignes directrices de l'ANSSI
Sur le premier point, hiQ prétend que l'interférence était volontaire. Et qu'elle s'est manifestée autant par la mise en place des mesures techniques que par l'invocation du CFAA. LinkedIn ne conteste pas ces observations, mais affirme que selon la législation, une telle interférence peut se justifier, par un intérêt économique légitime.
Comment la Cour a-t-elle raisonné à ce propos ? Elle a d'abord considéré qu'en l'existence d'une relation contractuelle, on privilégiait communément l'intérêt sociétal d'une stabilité plutôt que la liberté de concurrence. Puis repris des éléments du raisonnement de la Cour suprême. Plus précisément : une telle interférence ne peut se justifier par le seul fait qu'un concurrent chercherait à gagner un avantage économique aux dépens de LinkedIn. Il faut pouvoir prouver qu'on a agi pour « sauvegarder un intérêt d'une plus grande valeur sociétale que la stabilité du contrat ».
Pour estimer si c'est le cas, il convient de vérifier deux choses. D'une part, si les moyens d'interférence restent dans le cadre des « pratiques commerciales reconnues ». De l'autre, s'ils restent dans les clous de la concurrence loyale.
... mais se heurte à l'interprétation du CFAA
Le blocage technique n'est probablement pas une « pratique commerciale reconnue » au sens de la jurisprudence californienne, considère la Cour. Au contraire, par exemple, de la publicité, de l'ajustement des prix ou du débauchage d'employés. Qui peuvent influer indirectement sur des relations contractuelles, mais sans perturber fondamentalement un modèle économique.
Il n'est pas non plus acquis, toujours selon la Cour, qu'on soit dans les cordes de la concurrence loyale. Un argument de hiQ a tout particulièrement fait mouche : LinkedIn a attaqué formellement des années après avoir eu connaissance des pratiques incriminées. Et il l'a fait dans les semaines suivant l'annonce d'un produit susceptible de concurrence Skill Mapper.
Reste alors la seconde question : une fois l'avertissement formel reçu, la collecte de données s'est-elle poursuivie « sans autorisation » au sens du CFAA ?
Le blocage en lui-même ne saurait être considéré comme une absence d'autorisation, précise d'emblée la Cour. Et de justifier le maintien de son interprétation « restrictive » du texte : un simple détournement n'est pas suffisant pour l'invoquer ; la notion d'intrusion est indispensable (cf. « piratage » ci-dessus).
Y a-t-il, dans l'affaire « LinkedIn vs hiQ », quelque chose qui s'apparente à une intrusion ? La réponse de la Cour est négative. Dans les grandes lignes, sur les bases suivantes :
- La notion d'accès non autorisé ne s'applique qu'à des informations rendues privées par une forme d'exigence de type mot de passe
- D'autres textes que le CFAA - dont le Stored Communications Act - vont dans le même sens
- LinkedIn n'a pas manifestement rendu privées les données sur ses profils publics
Lire aussi : DaaS : une photographie du marché post-VMware
Photo d'illustration © 360b - Shutterstock
Sur le même thème
Voir tous les articles Actualités