Decision No. 17–16782 of the United States Court Of Appeals For The Ninth Circuit, 18 avril 2022

Le 18 avril 2022, la Cour d’appel du neuvième circuit de Californie (United States Court Of Appeals For The Ninth Circuit) prononce une injonc­tion préli­mi­naire visant à inter­dire provi­soi­re­ment à LinkedIn Corp. de refu­ser à hiQ Labs Inc., une entre­prise d’analyse de données, l’accès aux profils de membres de LinkedIn acces­sibles au public.

LinkedIn est un site Internet de réseau­tage profes­sion­nel conte­nant des profils de membres acces­sibles à tout public. La société dispose de mesures permet­tant de limi­ter cet accès et assu­rer la sécu­rité des données trai­tées. Tout d’abord, les membres ont la possi­bi­lité de ne pas noti­fier leur commu­nauté lorsqu’ils effec­tuent une modi­fi­ca­tion de leur profil. Ensuite, les serveurs de l’entreprise sont proté­gés des accès non auto­ri­sés et leur accès est limité à certaines enti­tés, comme le moteur de recherche Google, qui béné­fi­cient d’une auto­ri­sa­tion expresse. Finalement, LinkedIn emploie plusieurs systèmes tech­niques pour détec­ter des acti­vi­tés suspectes et restreindre l’extraction auto­ma­ti­sée de données.

HiQ, entre­prise d’analyse de données, effec­tue du web scra­ping. Le web scra­ping consiste en l’extraction (ou l’aspiration) et la copie de données prove­nant d’un site web en un format struc­turé permet­tant des analyses. Ce procédé peut être fait manuel­le­ment ou de manière auto­ma­ti­sée. La société utilise des bots auto­ma­ti­sés pour extraire les données conte­nues dans les profils publics des utili­sa­teurs de LinkedIn, ensuite trai­tées par un algo­rithme prédic­tif afin de vendre à ses clients commer­ciaux deux types d’analyses de personnes. L’une permet aux employeurs d’offrir des oppor­tu­ni­tés de déve­lop­pe­ment de carrière, bonus et autres avan­tages pour conser­ver leurs bons employés. La seconde résume les compé­tences afin de permettre aux employeurs de perce­voir des lacunes et mettre en place des forma­tions internes.

La Cour d’appel a rendu une première déci­sion en septembre 2019, en confir­mant la déci­sion du tribu­nal du district et en permet­tant à hiQ de conti­nuer à extraire les données des profils publics de LinkedIn. À la suite de sa saisine par LinkedIn, la Cour suprême a ensuite renvoyé l’affaire à la Cour d’appel pour un nouvel examen à la lumière de l’arrêt Van Buren v. United States rendu en 2021.

La Cour d’appel indique qu’une injonc­tion préli­mi­naire (preli­mi­nary injucn­tion) peut être pronon­cée si le requé­rant établit :

1. qu’il est suscep­tible de réus­sir sur le fond de l’affaire ;
2. qu’il est suscep­tible de subir un dommage irré­pa­rable en l’absence de cette injonction ;
3. que ses inté­rêts dans la mise en balance entre les inté­rêts en présence sont prépondérants ;
4. que la mesure provi­sion­nelle va dans le sens d’un inté­rêt public.

La Cour d’appel analyse d’abord le critère du dommage irré­pa­rable. Elle conclut qu’en raison de l’activité d’hiQ, l’entreprise dans son entier serait compro­mise si elle ne pouvait plus béné­fi­cier des infor­ma­tions mises à dispo­si­tion par LinkedIn. Il n’existe en effet pas d’autre base de données publi­que­ment acces­sibles conte­nant des données similaires.

Dans l’analyse des inté­rêts en présence, la Cour d’appel rappelle qu’hiQ, d’une part, est suscep­tible de faire faillite en l’absence d’une déci­sion allant dans son sens. LinkedIn soulève d’autre part que la sphère privée de ses membres est mena­cée dans la mesure où un profil public n’équivaut pas au consen­te­ment qu’un tiers collecte et utilise ces données à d’autres fins que celles initia­le­ment conve­nues. La Cour relève tout d’abord qu’il est peu probable que les utili­sa­teurs dispo­sant d’un profil public s’attendent à ce que les infor­ma­tions qu’ils publient demeurent privées. Qui plus est, la poli­tique de confi­den­tia­lité de LinkedIn conseille de ne pas parta­ger de données person­nelles qui seraient par consé­quent acces­sibles au grand public. Ensuite, il n’existe pas de preuve que les utili­sa­teurs choi­sis­sant le para­mètre ne noti­fiant pas leur commu­nauté en cas d’ajout ou modi­fi­ca­tion d’informations procèdent à ce choix afin de ne pas rendre leurs données (toujours acces­sibles sur leur profil) publiques. Il peut s’agir d’éviter d’ennuyer ses connexions avec des noti­fi­ca­tions ou d’éviter d’alerter son employeur de modi­fi­ca­tions précé­dant une recherche d’emploi. Finalement, les actions de LinkedIn vont dans le sens opposé d’une préser­va­tion de la sphère privée, l’entreprise offrant des produits permet­tant par exemple aux recru­teurs d’être aler­tés par certaines infor­ma­tions. Pour toutes ces raisons, la Cour d’appel conclut que les inté­rêts privés de hiQ priment ceux invo­qués par LinkedIn.

La Cour estime qu’hiQ a des chances de succès sur le fond, en se basant sur une poten­tielle ingé­rence délic­tueuse de LinkedIn dans les contrats d’hiQ avec des tiers (tortious inter­fe­rence with contract) et sur les règles rela­tives aux accès non auto­ri­sés à un système infor­ma­tique selon le Computer Fraud and Abuse Act (CFAA, 18 U.S.C. § 1030).

La Cour estime fina­le­ment que l’intérêt public défendu par hiQ prime celui de LinkedIn. La volonté de ne pas attri­buer trop de pouvoir à des plate­formes comme LinkedIn prime le fait que le web scra­ping puisse poten­tiel­le­ment inci­ter des acteurs malveillants à accé­der aux données de LinkedIn.

Pour ces motifs, la Cour d’appel confirme la déci­sion du tribu­nal de district. Elle confirme qu’hiQ a établi les éléments requis et renvoie l’affaire à l’instance inférieure.

En droit suisse de la protec­tion des données person­nelles, la nouvelle LPD intro­duit la notion de « viola­tion de la sécu­rité des données » (art. 5 let. h nLPD). Selon nous, l’aspiration ou l’extraction par un bot auto­ma­tisé d’une multi­tude de données libre­ment acces­sibles ne consti­tue pas une telle viola­tion, les données étant préci­sé­ment libre­ment acces­sibles. En outre, nous esti­mons que, selon le nouveau droit suisse, il n’y a pas d’atteinte à la person­na­lité pour ce trai­te­ment de données (prin­ci­pa­le­ment au regard du prin­cipe de fina­lité), dans la mesure où les données sont rendues libre­ment acces­sibles au public par la personne concer­née et que cette dernière ne s’est pas oppo­sée pas expres­sé­ment à un tel trai­te­ment (art. 30 al. 2 nLPD). Cette ques­tion n’a toute­fois pas été tran­chée à l’heure actuelle. En revanche, les personnes concer­nées doivent selon nous être infor­mées si un respon­sable du trai­te­ment auto­rise le web scra­ping de leurs données. En effet, l’art. 19 nLPD (devoir d’information) s’applique égale­ment en cas de données rendues libre­ment acces­sibles par la personne concer­née, sous réserve des excep­tions usuelles de l’art. 20 nLPD.

À noter que le web scra­ping peut soule­ver des ques­tions contrac­tuelles, de concur­rence, de droit pénal ou de propriété intel­lec­tuelle en droit suisse (voir par exemple Florent Thouvenin, Un droit de propriété sur les données en droit suisse ?, in : Jacques de Werra, Propriété intel­lec­tuelle à l’ère du Big Data et de la Blockchain, p. 97 s.).