Réseaux sociaux et scraping de données personnelles

Raphaël Liotier précise pour Le Monde la notion de données personnelles dans le cadre d’un article consacré aux fuites récentes de données liées au scraping de comptes de réseaux sociaux.

Comme le rappelle le journaliste Florian Reynaud dans le cadre de son article intitulé : « Sur Facebook, LinkedIn, Clubhouse… des fuites de données personnelles très problématiques » publié par Le Monde le 26 avril 2021, le mois d’avril 2021 aura été particulièrement chargé en alertes pour les données personnelles :

• le 3 avril, une base de données contenant des données relatives à plus de 533 millions de comptes Facebook, dont les numéros de téléphone, était diffusée sur un forum fréquenté par des cybercriminels ;
• quelques jours plus tard, un membre de ce même forum affirmait détenir des données relatives à des millions de comptes LinkedIn ;
• enfin, le 11 avril, un internaute mettait en ligne une base de données concernant 1,3 million de comptes du réseau social vocal Clubhouse.

Et Florian Reynaud d’ajouter que dans ces trois cas de publications de données personnelles de leurs utilisateurs, ces réseaux sociaux se sont défendus en expliquant qu’il n’y avait pas eu de piratage informatique. Mais que des informations avaient simplement été collectées et récupérées par des internautes, selon la pratique dite du « scraping » (« grattage »). Une pratique qui consiste le plus souvent, précise le journaliste, « à collecter des informations publiquement disponibles sur un site ». Ajoutant qu’« il est par exemple possible de coder un programme qui va parcourir toutes les pages d’un annuaire et collecter les informations à chaque fois qu’il rencontre les termes ‘nom’, ‘prénom’ et ‘numéro de téléphone’ ».

Réseaux sociaux, information publique et scraping de données personnelles

Or, comme le souligne à juste titre l’auteur de l’article, « qu’elles soient publiques ou non et obtenues à partir d’un scraping ou l’exploitation d’une vulnérabilité d’un outil, ces données d’utilisateurs diffusées restent des données personnelles au regard du droit français et européen ».

C’est ce qu’explique Raphaël Liotier, interrogé à cette occasion par Le Monde :  « Une donnée personnelle, précise l’avocat au sein du pôle Contentieux numérique du cabinet Alain Bensoussan Avocats Lexing, c’est une donnée qui permet d’identifier une personne physique, ça peut être un simple couple nom-prénom ». Ainsi, une donnée personnelle n’est pas nécessairement une information que le grand public considère comme privée ou sensible.

RGPD et collecte de données personnelles

Par ailleurs, le Règlement général de la protection des données (RGPD), entré en application le 25 mai 2018, s’applique à la personne qui a collecté ces informations. Comme le souligne Raphaël Liotier, « Si vous collectez des données sur les Pages jaunes, à la fin vous avez un traitement de données à caractère personnel », ce qui signifie que le RGPD s’applique à la personne qui a a réalisé le scraping et collecté ces informations.

Éric Bonnet
Avocat, Lexing Alain Bensoussan Avocats
Directeur de la Communication juridique