Web scraping : dommage résultant de l’utilisation des données ?

Publié le 11 mai 2023 par Me Philippe Ehrenström
Photo de Rick Han sur Pexels.com

La personne concernée est un informaticien et un utilisateur de Facebook.

Lors de l’utilisation des services de médias sociaux de Facebook, elle a fourni plusieurs données à caractère personnel obligatoires, notamment son prénom, son nom de famille et son sexe. Ces données, y compris l' »identifiant Facebook » généré par le système, étaient visibles publiquement par défaut sur le profil de l’utilisateur. En outre, la personne concernée a ajouté son numéro de téléphone portable. Ce dernier était également visible par défaut, mais l’utilisateur pouvait modifier cette visibilité dans les paramètres. La personne concernée a limité la visibilité au paramètre « recherche du groupe cible », mais a laissé visible l’option de recherche pour son numéro de téléphone portable.

En 2021, des « tiers » inconnus ont publié des données qui avaient été extraites du site web en 2019 [i.e. via le web scraping, i.e. technique d’extraction du contenu de sites Web, via un script ou un programme, dans le but de le transformer pour permettre son utilisation dans un autre contexte, comme l’enrichissement de bases de données, le référencement ou l’exploration de données.]

La personne concernée s’est plainte de recevoir depuis lors des appels anonymes et des courriers électroniques non sollicités. Cela a eu des conséquences psychologiques négatives pour elle. Elle a donc demandé 500 euros de dommages-intérêts non matériels en vertu de l’article 82 du RGPD.

Le responsable du traitement a répondu que le « web scraping » – qui n’est pas un piratage – n’entraîne pas de violation du RGPD par le responsable du traitement, étant donné qu’aucune mesure de sécurité obligatoire n’a été contournée et que la personne concernée a pris la décision en toute connaissance de cause de communiquer volontairement son numéro de téléphone sur le site.

Le Landgericht Bielefeld, dans une décision 19 O 147/22 du 10 mars 2023, a rejeté la demande de dommages-intérêts au titre de l’art. 82 RGPD..

Le tribunal a estimé qu’il n’y avait pas eu de manquement à ses obligations de la part du responsable du traitement pouvant donner lieu à des dommages et intérêts. La publication du numéro de téléphone portable n’était pas obligatoire et la personne concernée avait la possibilité (non utilisée) de masquer le numéro de téléphone sur son profil.

Le tribunal a aussi estimé que le responsable du traitement n’avait pas manqué à son obligation de protéger de manière adéquate les données à caractère personnel des utilisateurs conformément à l’art. 32 RGPD. Le responsable du traitement n’était pas tenu de prendre des mesures de protection pour empêcher la collecte d’informations déjà accessibles au public.

Le responsable du traitement n’a pas non plus violé le principe de « protection de la vie privée par défaut » consacré par les articles 24 et 25, paragraphe 2, du RGPD. Il n’a pas été contesté que seuls le nom, le sexe et l’identifiant Facebook de la personne concernée choisissant de s’inscrire sur la plateforme étaient obligatoirement visibles par le public. Si un utilisateur décidait ensuite d’entrer son numéro de téléphone, le paramètre de visibilité était initialement réglé sur « tout le monde ». L’utilisateur inexpérimenté sur le plan technique a néanmoins été informé de manière adéquate des informations correspondantes ainsi que des options de réglage et de leurs limites. En outre, tout internaute qui utilise un réseau social tel que Facebook doit savoir qu’il existe des usages Internet avec lesquels il doit se familiariser s’il veut utiliser de telles plateformes de communication. Cela s’appliquait en particulier au plaignant en tant qu’informaticien.

Le responsable du traitement a également prouvé que, contrairement à l’affirmation générale de la personne concernée, il avait pris des mesures techniques pour rendre le scraping plus difficile, notamment en mettant en place un obstacle, selon lequel les requêtes effectuées dans une certaine mesure à partir d’une même adresse IP étaient impossibles ou interrompues pendant un certain temps, en informant les utilisateurs et, enfin, en disposant d’une équipe chargée uniquement d’empêcher l’utilisation abusive des données des utilisateurs.

Le site gdprhub.eu remarque, dans sa présentation de la décision, que le tribunal estime que le principe de Privacy by design n’a pas été violé… alors que tous les paramètres de récoltes de données étaient réglés par défaut sur public.

Présentation de la décision : https://gdprhub.eu/index.php?title=LG_Bielefeld_-_19_O_147%2F22&mtc=today

Décision : https://www.justiz.nrw.de/nrwe/lgs/bielefeld/lg_bielefeld/j2023/19_O_147_22_Urteil_20230310.html

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

A propos Me Philippe Ehrenström

Ce blog présente certains thèmes juridiques en Suisse ainsi que des questions d'actualité. Il est rédigé par Me Philippe Ehrenström, avocat indépendant, LL.M. (Tax), Genève et Yverdon.
Cet article, publié dans Protection des données, RGPD, est tagué , , , , , , . Ajoutez ce permalien à vos favoris.

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Gravatar
Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Annuler

Connexion à %s