La base légale de l’intérêt légitime : fiche focus sur les mesures à prendre en cas de collecte des données par moissonnage (web scraping)

10 juin 2024

La collecte des données accessibles en ligne par moissonnage (web scraping) doit être accompagnée de mesures visant à garantir les droits des personnes concernées.

La collecte de données personnelles accessibles en ligne par moissonnage (web scraping) reposant généralement sur l’intérêt légitime, le responsable du traitement devra mettre en œuvre certaines mesures additionnelles, permettant de limiter l’atteinte qu’elle peut porter aux intérêts, droits et libertés des personnes.

Rappel sur la doctrine de la CNIL

Le moissonnage des données accessibles en ligne s’est fortement développé, notamment avec l’essor rapide et généralisé des systèmes d’IA générative, qui ont recours aux vastes quantités de données librement accessibles en ligne. Il existe toutefois des risques inhérents à l’utilisation de telles techniques pour les droits et libertés des personnes, qui ne maîtrisent pas les réutilisations de leurs données accessibles en ligne. La généralisation des pratiques de moissonnage a ainsi opéré un changement de nature quant à l’utilisation d’internet, dans la mesure où toutes les données publiées en ligne par une personne sont désormais susceptibles d’être lues, collectées et réutilisées par des tiers, ce qui constitue un risque important et inédit pour les personnes.

La CNIL a régulièrement appelé à la vigilance concernant ces pratiques, tout en émettant une série de préconisations à respecter pour les mettre en œuvre. Ella a également plusieurs fois appelé à ce qu’elle fasse l’objet d’un encadrement législatif ad hoc (voir notamment l’avis de la CNIL du 15 décembre 2022 sur le projet « Polygraphe »), ce qui permettrait à la fois de sécuriser les organismes y ayant recours, d’encadrer cette pratique et de protéger les données personnelles librement accessibles en ligne.

Dans certains cas, la CNIL a eu l’occasion de considérer que de telles pratiques étaient interdites en l’absence d’un tel encadrement juridique (notamment lorsque les traitements sont mis en œuvre par des autorités compétentes à des fins de détection d’infraction). A l’inverse, elles ont été admises dans d’autres cas de figure, sous réserve de la mise en place de garanties fortes, par exemple pour la recherche sur internet de fuites d’informations (RIFI).

Pour l’instant, en l’absence d’un encadrement juridique spécifique, cette fiche rappelle les obligations des responsables de traitements et précise les conditions dans lesquelles de tels traitements pourraient être mis en œuvre pour le développement d’un système d’IA.

La légalité des pratiques de moissonnage dépend notamment de la possibilité de mobiliser une base légale valide. La collecte de données accessibles en ligne pour la constitution d’une base de données d’apprentissage peut se fonder sur la base légale de l’intérêt légitime à condition d’en respecter les conditions rappelées dans la fiche relative à l’intérêt légitime.

Pour plus d’information : voir la fiche « Mobiliser la base légale de l’intérêt légitime pour développer un système d’IA ».

Les mesures obligatoires

Certaines mesures sont obligatoires au titre du principe de minimisation des données (article 5.1.c du RGPD) :

définir, en amont, des critères précis de collecte et appliquer des filtres qui permettent d’exclure la collecte des catégories de données lorsqu’elles ne sont pas nécessaires (par exemple, si elles ne sont pas nécessaires, les données de transaction bancaire, données de géolocalisation, données concernant des personnes vulnérables comme des mineurs, données sensibles, etc.) ;
veiller à supprimer les données non pertinentes qui auraient pu être collectées malgré ces critères immédiatement après leur collecte ou dès qu’elles sont identifiées comme telles (par exemple si, sur un forum public, les pseudonymes de personnes sont collectés alors que seul le contenu des commentaires est nécessaire).

Que faire en cas de collecte incidente de données sensibles ?

Il convient de faire preuve d’une attention particulière à la collecte de données sensibles lors de l’utilisation d’outils de moissonnage (web scraping) qui impliquent le traitement de larges volumes de données. Le responsable du traitement est tenu de mettre en œuvre toutes les mesures permettant d’exclure automatiquement la collecte de données sensibles non pertinentes notamment en appliquant des filtres permettant d’exclure la collecte de certaines catégories de données ou encore d’exclure certains sites comportant des données sensibles par nature.

Si, malgré les mesures prises, l’organisme traite de manière incidente et résiduelle des données sensibles qu’il n’avait pas cherché à collecter, cela n’est pas considéré comme illégal. C’est notamment ce qu’a pu considérer la cour de justice de l’Union européenne en rappelant que cette interdiction s’applique à l’exploitant d’un moteur de recherche « dans le cadre de ses responsabilités, de ses compétences et de ses possibilités » (CJUE, grande chambre, 24 septembre 2019, GC e.a, C-136/17). En revanche, si l’organisme vient à savoir qu’il traite des données sensibles, notamment par le biais de la personne concernée, il est tenu de procéder, autant que possible, à leur suppression immédiate et automatisée.

Pour rappel, le traitement de données sensibles peut être autorisé par exception lorsqu’il porte sur des données personnelles qui sont manifestement rendues publiques par la personne concernée. Il convient de vérifier si la personne concernée souhaitait, de manière explicite et par un acte positif clair, sur la base d’un paramétrage effectué en connaissance de cause, rendre accessibles au grand public ses données personnelles ou, au contraire, à un nombre plus ou moins limité de personnes sélectionnées (CJUE, 4 juillet 2023, Meta Platforms, C-252/21).

Pour plus d’informations : voir la fiche « Assurer que le traitement est licite ».

Les garanties supplémentaires

Pour garantir l’équilibre attendu au titre de l’intérêt légitime, le responsable du traitement doit généralement mettre en œuvre des garanties supplémentaires qui permettent de limiter l’atteinte aux droits et libertés des personnes. Comme indiqué dans la fiche « Mobiliser la base légale de l’intérêt légitime pour développer un système d’IA », le choix des mesures appropriées dépend notamment de l’usage prévu pour l’IA entraînée et de l’impact effectif de ce système sur les personnes concernées. La CNIL recommande notamment la mise en œuvre de plusieurs, voire de toutes les mesures suivantes :

exclure, par défaut, la collecte de données à partir de certains sites qui contiennent des données particulièrement intrusives compte tenu de leur sensibilité (comme les sites pornographiques, les forums de santé, les sites ou réseaux sociaux utilisés majoritairement par des personnes mineures) ou du niveau d’information qu’elles permettent d’obtenir sur les personnes (comme les sites généalogiques ou qui contiennent de larges volumes de données structurées sur les personnes) ;
exclure la collecte pour les sites qui s’opposent clairement au moissonnage (web scraping) de leur contenu ou à sa réutilisation à des fins de constitution de bases de données pour l’entrainement de systèmes d’IA (par exemple, à l’aide des fichiers robot.txt ou ai.txt) ;
mettre en place une « liste repoussoir », qui serait gérée par le responsable du traitement et qui permettrait aux personnes concernées de s'opposer à la collecte de leurs données sur certains sites web ou plateformes en ligne en fournissant les informations permettant leur identification sur ces différents sites, y compris en amont de la collecte ;
prévoir la possibilité pour les personnes concernées de s’opposer au traitement de manière discrétionnaire ;
limiter la collecte aux données librement accessibles (c’est-à-dire aux contenus accessibles à tout utilisateur non inscrit sur le site en question et sans création d’un compte) et manifestement rendues publiques par les utilisateurs, c’est-à-dire en ayant explicitement exprimé son choix au préalable de rendre ses données publiquement accessibles à un nombre illimité de personnes (par exemple, sur la base d’un paramétrage individuel) afin de s’assurer qu’elles ne perdent pas le contrôle des données qu’elles publient en ligne (exclure par exemple les données publiées par les personnes sur les réseaux sociaux dans le cadre d’une utilisation privée, comme informations contenues sur les profils ou les groupes privés) ;
appliquer des procédés d’anonymisation ou de pseudonymisation juste après la collecte des données ;
diffuser le plus largement possible les informations relatives à la collecte et aux droits des personnes (par exemple par l’intermédiaire d’articles en ligne), en s’assurant de publier une liste mise à jour des sites concernés par les pratiques de moissonnage ;
prévenir tout recoupement de données à partir des identifiants des personnes, par exemple en les remplaçant par des pseudonymes aléatoires propre à chaque contenu (par exemple à chaque publication sur un forum librement accessible en ligne) et non à chaque identifiant, à moins que le responsable du traitement ne démontre la nécessité de pouvoir regrouper différentes données concernant une personne en particulier pour le développement du système ou du modèle d’IA en cause ;
inscrire ses coordonnées dans le registre qui pourrait être mis en place par la CNIL, afin de recenser les entreprises ayant recours à des outils de moissonnage pour la collecte de données en ligne afin d’informer les personnes et de leur permettre d’exercer les droits qui leur sont conférés au titre du RGPD auprès du responsable du traitement.

Le projet de registre des organisations traitant des données collectées par moissonnage à des fins de développement de systèmes d’IA

Les pratiques de moissonnage (web scraping), déjà très répandues, prennent une importance particulière avec le développement de l’IA. Compte tenu des problèmes que posent ces pratiques notamment en termes de transparence et d’exercice des droits, la CNIL envisage de mettre en place un registre sur son site où pourraient s’inscrire les organisations qui traitent des données collectées par moissonnage à des fins de développement de systèmes d’IA.

Quels traitements seraient concernés ?

Ce registre concernerait les organisations qui traitent des données collectées par moissonnage à des fins de constitution de bases de données d’entraînement pour le développement de systèmes d’IA, qui entrent dans le champ matériel du RGPD ou des dispositions du titre III de la loi « Informatique et Libertés ». Il n’aurait en revanche pas vocation à rensencer les organisations ayant recours au moissonnage pour d’autres finalités (prospection commerciale, veille médiatique, etc.).

Qui pourrait s’y inscrire ?

L’inscription sur ce registre serait ouverte à la fois aux organisations publiques et privées qui traitent des données collectées par moissonnage à des fins de développement de systèmes d’IA. Cela inclurait les responsables de traitements qui mettent eux-mêmes en œuvre des outils de moissonnage, qui font appel à un sous-traitant ou qui traitent des données antérieurement collectées par des outils de moissonnage (par exemple, des bases de données accessibles en ligne ou acquises auprès de tiers et constituées à partir de web scraping, comme l’utilisation de bases de données Common Crawl).

L’inscription ne se limiterait pas aux entreprises françaises, mais inclurait toutes celles qui sont concernées par le champ d’application territorial du RGPD et de la loi « Informatique et Libertés ».

S’agissant des organisations publiques, la CNIL tiendrait également sur une page dédiée une liste des administrations autorisées à effectuer du moissonnage de données dans le cadre de leurs pouvoirs. Cela concernerait les traitements autorisés par des textes et sur lesquels la CNIL aurait rendu un avis.

Quelles informations figureraient sur le registre en ligne ?

Les informations suivantes figureraient, pour chaque organisation, sur le registre :

l’identité (raison sociale) du responsable du traitement ;
un lien vers sa politique de confidentialité ;
de manière facultative, la liste des catégories de sites scrapés ou, a minima, un renvoi vers la politique de confidentialité où il est obligatoire que soient listées la ou les sources des données traitées, sous réserve des exceptions applicables (pour plus d’information, voir la fiche sur l’information des personnes) ;
les modalités d’exercice des droits.

L’inscription sur le registre serait-elle obligatoire ?

Non. L’inscription sur ce registre ne serait pas obligatoire même si votre organisation traite des données collectées par moissonnage à des fins de constitution de bases de données d’entraînement. En revanche, l’inscription sur ce registre permettrait d’assurer une plus grande transparence des traitements et de faciliter l’exercice des droits des personnes. Par conséquent, lorsque le responsable du traitement souhaite mobiliser la base légale de l’intérêt légitime, l’inscription sur ce registre pourrait être prise en compte comme mesure additionnelle dans la mise en balance.

L’inscription sur le registre garantirait-elle la conformité des traitements de données ?

Non. La CNIL ne vérifierait pas la conformité des traitements mis en œuvre par les organisations qui s’inscriraient sur ce registre. La présence d’un organisme sur cette liste ne préjugerait pas de la conformité des traitements de données qu’il effectue à la réglementation, notamment en matière de protection des données.

Comment s’inscrire sur le registre ?

Il serait possible de s’inscrire sur le registre en remplissant un formulaire qui serait disponible en ligne.

L’inscription devrait être effectuée par le représentant légal, une personne disposant de ces prérogatives au sein de l’organisme ou, le cas échéant, le délégué à la protection des données (DPO).

Pour effectuer l’inscription sur le registre, le responsable du traitement devrait renseigner certaines informations nécessaires à son identification : nom et prénom de la personne physique effectuant l’enregistrement, coordonnées de contact (adresse email), numéro de SIREN de l’organisation. Ces informations ne seraient pas rendues publiques.

Serait-il possible de modifier les informations indiquées dans le registre ou de se retirer du registre ?

Oui, il serait possible de demander le retrait ou la modification des informations renseignées. Les responsables du traitement seraient fortement encouragés à vérifier régulièrement que les informations mentionnées ne soient ni inexactes ni obsolètes. Les données seraient supprimées à l’issue d’un délai de deux ans à compter de la dernière modification par le responsable du traitement.