En bref
Le scraping n'est pas interdit en soi, mais il est strictement encadré par le RGPD, le Code pénal et le droit des bases de données. Les sanctions peuvent atteindre vingt millions d'euros d'amende.
Qualification juridique et enjeux pluridisciplinaires du scraping
Accessibilité ne signifie pas libre réutilisation
Des données publiquement accessibles sur un site internet ne sont pas pour autant librement réutilisables. Chaque opération de scraping doit être analysée au regard du RGPD, du droit pénal et de la propriété intellectuelle.
L'encadrement du scraping par le règlement général sur la protection des données
Art. 6 RGPD
« Tout traitement de données à caractère personnel doit reposer sur l'une des six bases légales prévues par le règlement, parmi lesquelles le consentement et l'intérêt légitime du responsable du traitement. »
Source : Règlement (UE) 2016/679 — RGPD
Art. 14 RGPD
« Lorsque les données ne sont pas collectées directement auprès de la personne concernée, le responsable du traitement doit l'informer dans un délai raisonnable n'excédant pas un mois après l'obtention des données. »
Source : Règlement (UE) 2016/679 — RGPD
Besoin d'un dossier juridique ?
Générez votre dossier complet en 3 minutes — mise en demeure personnalisée, chronologie des faits, plan de relances, signée par Me Sandy Lacroix.
La répression pénale de l'accès frauduleux aux systèmes informatiques
Art. 323-1 C. pén.
« L'accès ou le maintien frauduleux dans un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de soixante mille euros d'amende. »
Source : Code pénal — article consolidé
Cass. crim., 20 mai 2015, n° 14-81.336
« La chambre criminelle juge que le maintien dans un système informatique après prise de conscience du défaut d'autorisation caractérise le maintien frauduleux, même sans protection technique préalable. »
Source : JUDILIBRE — Cour de cassation
Le droit sui generis des bases de données et l'exception de fouille de textes
Art. L342-1 CPI
« Le producteur d'une base de données peut interdire l'extraction ou la réutilisation d'une partie qualitativement ou quantitativement substantielle du contenu de cette base. »
Source : Code de la propriété intellectuelle — article consolidé
Vérifiez l'opt-out TDM avant toute extraction commerciale
Avant d'extraire des données à des fins commerciales, vérifiez si l'éditeur a activé le mécanisme d'opt-out prévu par la directive 2019/790, via les métadonnées du site, le robots.txt ou les conditions d'utilisation.
Sanctions encourues et recommandations pratiques de conformité
CNIL, form. restr., 20 oct. 2022 (Clearview AI)
« La CNIL a sanctionné Clearview AI d'une amende de vingt millions d'euros pour collecte massive par scraping de milliards de photographies sans base légale ni information des personnes concernées. »
Source : CNIL — décision publique
Cumul des sanctions pénales, administratives et civiles
Le scraping illicite peut donner lieu simultanément à des poursuites pénales, une amende CNIL au titre du RGPD et une action civile du producteur de la base de données. Ces sanctions se cumulent.
Documentez votre analyse d'impact avant tout scraping à grande échelle
Une analyse d'impact (AIPD) conforme à l'article 35 du RGPD est indispensable avant tout scraping portant sur des données personnelles à grande échelle. Cette documentation est déterminante en cas de contrôle de la CNIL.
Questions fréquentes
Le scraping de données publiquement accessibles est-il légal en France ?
Le scraping de données publiquement accessibles n'est pas automatiquement légal. L'accessibilité d'une information sur un site internet ne vaut pas consentement à sa collecte automatisée. La licéité s'apprécie au regard du RGPD pour les données personnelles, du Code pénal pour l'accès aux systèmes informatiques et du Code de la propriété intellectuelle pour les bases de données protégées.
Quelles sanctions risque-t-on en cas de scraping illicite de données personnelles ?
Les sanctions sont cumulables : jusqu'à vingt millions d'euros d'amende administrative au titre du RGPD, deux ans d'emprisonnement et soixante mille euros d'amende pour accès frauduleux à un système informatique, et trois ans d'emprisonnement et trois cent mille euros d'amende pour extraction illicite de bases de données protégées par le droit sui generis.
Le fichier robots.txt interdit-il juridiquement le scraping d'un site internet ?
Le fichier robots.txt constitue une convention technique entre éditeurs de sites et robots d'indexation, non une interdiction juridiquement contraignante en droit français. Son non-respect n'est pas constitutif d'une infraction pénale en soi. Toutefois, il peut être retenu par les juges comme un indice de mauvaise foi pour caractériser l'élément frauduleux de l'accès à un système informatique.
L'exception de text and data mining autorise-t-elle le scraping à des fins commerciales ?
L'exception de fouille de textes et de données issue de la directive 2019/790 autorise certaines extractions à des fins commerciales, sous réserve que le titulaire des droits n'ait pas activé le mécanisme d'opt-out. Cette exception ne couvre que le droit d'auteur et le droit des bases de données : elle ne dispense en aucun cas du respect des obligations du RGPD lorsque les données extraites sont à caractère personnel.
Engager une procédure près de chez vous
Tribunaux judiciaires et commissaires de justice dans les principales juridictions
Votre ville n'est pas listée ? Voir toutes les juridictions (100+ villes) →
Vous êtes dans cette situation ?
Générez votre dossier complet en 3 minutes — mise en demeure, chronologie des faits, plan de relances, signée par Me Sandy Lacroix.
Générer mon dossier juridiqueÀ partir de 14,90 € · paiement sécurisé · satisfait ou remboursé 14 jours