Quelles méthodes légales pour interdire l’accès à un système informatique ? C’est l’une des questions auxquelles la justice américaine semble devoir répondre dans l’affaire « LinkedIn vs hiQ ».

Au cœur du dossier, le scraping, collecte massive et automatisée de données. LinkedIn avait porté le fer contre un de ses pratiquants : hiQ Labs. Cette entreprise exerce toujours son activité d’alors : elle récupère des informations sur les profils publics du réseau social, les met en forme et les commercialise, sous l’angle de l’analyse prédictive. Sa cible : les employeurs soucieux de détecter le personnel qui envisage de mettre les voiles.

LinkedIn avait demandé à hiQ de cesser la pratique, au nom du Computer Fraud and Abuse Act. Cette loi date de 1986. Dans les grandes lignes, elle punit le fait d’accéder à un ordinateur sans permission ou d’utiliser à outrance un accès autorisé.

Face à cette injonction, hiQ avait saisi la justice en Californie pour tenter de prouver que son activité était légale. Et l’avait emporté. C’était en 2017. Deux ans plus tard, LinkedIn, ayant fait appel, était débouté. Entre autres pour les motifs suivants :

La procédure était finalement remontée jusqu’à la Cour suprême. Celle-ci vient de se prononcer… et de renvoyer l’affaire en Cour d’appel. En toile de fond, une autre décision, prise début juin. Elle restreint le champ d’application du Computer Fraud and Abuse Act.

OPINION: 19-783 Van Buren v. United States https://t.co/OAKwv2gtte

An individual “exceeds authorized access” when he accesses a computer with authorization but then obtains information located in particular areas of the computer that are off-limits to him.

BARRETT

