Le web scraping n'est pas illégal en soi : en France, dans l'UE comme aux États-Unis, collecter des données publiques et non personnelles est généralement licite. Le risque naît des données personnelles, des contenus protégés, des pages sous authentification ou de CGU opposables. Mes critères d'ingénieur : ce que vous collectez, comment vous y accédez, où se trouvent les personnes concernées.
Points clés à retenir
- Aucune loi américaine, européenne ou française n'interdit le web scraping en tant qu'activité ; les tribunaux l'apprécient au regard des textes existants : CFAA, droit des contrats, droit d'auteur, protection des données.
- Le contentieux hiQ v. LinkedIn a établi que le scraping de données publiquement accessibles ne viole probablement pas le CFAA, mais hiQ a tout de même perdu sur le terrain contractuel et transigé.
- Sous le RGPD, une donnée personnelle visible publiquement reste une donnée personnelle : sa collecte exige une base légale, de la transparence et une minimisation.
- La directive DSM (2019/790), transposée en France à l'article L.122-5-3 du CPI, crée des exceptions de fouille de textes et de données, avec un opt-out des titulaires de droits en format lisible par machine (article 4).
- Des données publiques, non personnelles, hors authentification, collectées à un rythme raisonnable et dans un but légitime : voilà la zone de faible risque ; logins, paywalls et données personnelles sont les lignes rouges.
Avant toute chose : ceci n'est pas un conseil juridique
Cet article est une synthèse pédagogique rédigée par un ingénieur web, pas par un avocat, et il ne crée aucune relation avocat-client. Le droit du web scraping est mouvant, propre à chaque juridiction et à chaque situation de fait. Si votre activité dépend de données collectées par scraping, consultez un avocat qualifié dans chaque juridiction où vous opérez et où se trouvent vos sites cibles et les personnes concernées. Ce qui suit résume les sources primaires et les grandes décisions de justice à jour de juillet 2026.
Précisons aussi d'emblée notre position en matière de conformité : ProxyFacts ne traite du scraping qu'à des fins légitimes, comme la veille tarifaire, le suivi SEO, la vérification publicitaire, les études de marché et la collecte de données d'entraînement pour l'IA. Nous ne publions aucun guide sur le contournement de logins ou de paywalls, le scalping, la création de comptes ou la collecte massive de données personnelles.
La réponse courte : le scraping est une méthode, pas une infraction
Aucun texte, aux États-Unis, dans l'Union européenne ou au Royaume-Uni, ne dispose que « le web scraping est illégal ». Le scraping n'est que la récupération automatisée de pages web : les mêmes requêtes HTTP qu'un navigateur, émises par un programme plutôt que par une personne. Les moteurs de recherche, les comparateurs de prix, les chercheurs et les projets d'archivage en dépendent tous.
Ce que le droit encadre, ce n'est pas la méthode mais les circonstances :
- L'accès — avez-vous pris des données que le site rendait publiques, ou franchi une barrière technique ou d'authentification ?
- Le contenu — s'agit-il de données factuelles et non personnelles, ou d'œuvres protégées, d'une base de données protégée, de données personnelles ?
- Le contrat — avez-vous expressément accepté des conditions interdisant le scraping, par exemple en créant un compte ?
- Le comportement — votre robot s'est-il comporté raisonnablement, ou a-t-il dégradé le service cible ?
Tous les grands litiges de scraping de la dernière décennie se jouent sur une ou plusieurs de ces quatre questions.
Le droit du web scraping aux États-Unis
Le CFAA : la question de l'accès « sans autorisation »
Le principal texte fédéral invoqué contre les scrapers est le Computer Fraud and Abuse Act de 1986, codifié au 18 U.S.C. Section 1030. Il sanctionne l'accès à un ordinateur « without authorization » ou en « exceeding authorized access ». Pendant des années, les demandeurs ont soutenu que scraper un site contre sa volonté, par exemple après une mise en demeure, constituait un accès non autorisé.
Deux décisions ont resserré cette théorie. Dans Van Buren v. United States (2021), la Cour suprême a retenu une lecture dite « gates-up-or-down » : le CFAA vise ceux qui franchissent des portes qu'ils n'ont pas le droit de franchir, pas ceux qui mésusent d'informations auxquelles ils pouvaient accéder. L'affaire concernait un policier détournant un accès à une base de données, pas du scraping, mais sa logique a redessiné l'analyse du scraping.
La saga hiQ v. LinkedIn
L'affaire de référence est hiQ Labs v. LinkedIn. La chronologie compte, car on n'en cite souvent qu'une étape :
| Étape | Ce qui s'est passé |
|---|---|
| 2017 | Le tribunal de district accorde à hiQ une injonction préliminaire ordonnant à LinkedIn de cesser de bloquer le scraping des profils publics |
| 2019 | Le Ninth Circuit confirme : le scraping de données publiquement accessibles ne viole probablement pas le CFAA |
| 2021 | La Cour suprême casse et renvoie pour réexamen à la lumière de Van Buren |
| 2022 | Le Ninth Circuit réaffirme sa position sur renvoi : la notion d'accès « without authorization » du CFAA ne s'applique pas aux sites publics dépourvus de barrière d'authentification |
| Fin 2022 | Sur le fond, le tribunal de district juge que hiQ a violé le User Agreement de LinkedIn ; les parties transigent par un consent judgment défavorable à hiQ |
L'enseignement est à double tranchant. Scraper des données visibles par n'importe quel navigateur sans connexion échappe très probablement au CFAA dans le ressort du Ninth Circuit. Mais hiQ a tout de même perdu la guerre : les demandes contractuelles ont survécu et hiQ a accepté de cesser de scraper LinkedIn. « Pas un délit fédéral de piratage » et « juridiquement sûr » sont deux choses différentes.
Le même schéma s'est répété dans Meta Platforms v. Bright Data (No. 3:23-cv-00077, N.D. Cal.). En janvier 2024, le tribunal de district a accordé un summary judgment au fournisseur de proxies Bright Data sur les demandes contractuelles de Meta, au motif que scraper des pages publiques de Facebook et Instagram sans être connecté n'était pas soumis à des conditions qui ne lient que les titulaires de comptes connectés. Meta a ensuite abandonné l'affaire. Là encore, la ligne de partage était l'authentification : l'accès déconnecté à des pages publiques se situe du côté le plus sûr.
Contrat, droit d'auteur et autres fondements américains
Même quand le CFAA ne s'applique pas, les scrapers américains s'exposent à :
- La responsabilité contractuelle. Les conditions dites browsewrap (un lien en pied de page) sont faiblement opposables ; les conditions clickwrap (vous avez cliqué sur « J'accepte », en général à la création d'un compte) le sont fortement. Scraper en étant connecté à un compte que vous avez créé est la configuration au risque contractuel maximal.
- Le droit d'auteur. Les faits et les données brutes ne sont pas protégeables aux États-Unis depuis Feist Publications v. Rural Telephone (1991), mais l'expression créative l'est : avis, articles, photographies, compilations éditorialisées. Copier des prix n'est pas republier des fiches produit.
- Le trespass to chattels et l'enrichissement sans cause. Ces actions fondées sur le droit des États fédérés aboutissent parfois lorsque le scraping pèse de façon mesurable sur les serveurs de la cible, raison supplémentaire de limiter agressivement le débit.
Le droit du web scraping dans l'Union européenne
RGPD : les données personnelles, premier point de vigilance
Le règlement général sur la protection des données (UE) 2016/679 s'applique dès que les données collectées se rapportent à une personne identifiable : noms, pseudonymes, photos, employeur, localisation, et souvent des combinaisons de champs anodins pris isolément. Trois points surprennent régulièrement les débutants :
- Public ne signifie pas librement exploitable. Le RGPD ne prévoit aucune exemption pour les données publiquement accessibles. Scraper un profil public reste un « traitement » qui exige une base légale au titre de l'article 6, en pratique le plus souvent une analyse documentée d'intérêt légitime.
- Les obligations de transparence atteignent les scrapers. L'article 14 impose d'informer les personnes que leurs données ont été obtenues indirectement, dans un délai d'un mois, sauf exception. L'autorité polonaise de protection des données a prononcé l'une des premières amendes RGPD contre une société qui avait scrapé un registre public d'entreprises sans informer les personnes concernées.
- Le champ territorial est large. En vertu de l'article 3, le RGPD peut s'appliquer à un scraper américain ou asiatique sans établissement dans l'UE dès lors qu'il suit ou cible des personnes situées dans l'UE. Les amendes peuvent atteindre 20 millions d'euros ou 4 pour cent du chiffre d'affaires annuel mondial au titre de l'article 83.
Les autorités de protection des données agissent aussi collectivement : depuis 2023, des déclarations conjointes de régulateurs, dont l'ICO britannique et le Commissariat à la protection de la vie privée du Canada, avertissent que le scraping massif de données personnelles sur les plateformes sociales peut constituer une violation de données à notifier pour la plateforme et un traitement illicite pour le scraper. Si votre projet touche à la moindre donnée personnelle, traitez la conformité RGPD comme une exigence de conception, pas comme une régularisation a posteriori — pour ma part, je la fixerais au niveau du schéma de données, avant même d'émettre la première requête HTTP.
La directive DSM : les exceptions européennes de fouille de textes et de données
La directive sur le droit d'auteur dans le marché unique numérique (UE) 2019/790 a créé deux exceptions au droit d'auteur directement pertinentes pour le scraping :
- L'article 3 autorise la fouille de textes et de données (TDM) à des fins de recherche scientifique par les organismes de recherche et les institutions du patrimoine culturel, sans que les titulaires de droits puissent y déroger par contrat.
- L'article 4 autorise la TDM par quiconque, y compris les acteurs commerciaux, sauf si le titulaire de droits a expressément réservé ses droits « de manière appropriée », c'est-à-dire, pour les contenus en ligne, par des procédés lisibles par machine. Les directives robots.txt et les standards d'opt-out émergents en sont les implémentations courantes.
L'article 4 est devenu la colonne vertébrale juridique de la collecte commerciale de données d'entraînement pour l'IA en Europe, et le mécanisme d'opt-out explique pourquoi respecter les signaux lisibles par machine y dépasse la simple courtoisie : scraper à des fins de TDM des contenus protégés ayant exercé leur opt-out fait perdre le bénéfice de l'exception.
Droit des bases de données et conditions d'utilisation dans l'UE
L'UE protège en outre les bases de données de deux façons supplémentaires. La directive 96/9/CE sur les bases de données confère un droit sui generis contre l'extraction ou la réutilisation d'une partie substantielle d'une base ayant nécessité un investissement substantiel, sans équivalent américain. Et dans Ryanair v. PR Aviation (C-30/14), la Cour de justice de l'UE a jugé que, lorsqu'une base de données n'est pas protégée par la directive, l'exploitant du site peut restreindre le scraping contractuellement via ses conditions d'utilisation. Autrement dit, dans l'UE, c'est soit le droit des bases de données, soit le contrat qui peut mordre : ni « ce ne sont que des faits » ni « la base n'est pas protégée » ne constitue une défense complète.
Le cas français : doctrine CNIL, exception TDM et jurisprudence
La France applique évidemment le RGPD et la directive DSM, mais elle y ajoute une doctrine de régulateur particulièrement fournie et une jurisprudence propre. Si vos cibles ou vos utilisateurs sont en France, trois couches méritent une lecture attentive.
Ce que dit la CNIL sur le moissonnage de données
La CNIL emploie le terme « moissonnage » pour le web scraping et a construit une doctrine en deux temps :
- Prospection commerciale : le consentement d'abord. Dès 2020, la CNIL a rappelé que réutiliser des coordonnées publiquement accessibles en ligne à des fins de démarchage électronique exige le consentement préalable des personnes : la simple disponibilité publique d'un e-mail ou d'un numéro de téléphone ne vaut pas accord pour être démarché. Elle est passée aux actes fin 2020 avec une amende de 20 000 euros contre la société Nestor, qui avait notamment collecté des données de profils publics pour envoyer de la prospection sans consentement ni information des personnes.
- IA et intérêt légitime : possible, mais encadré. Dans ses recommandations sur le développement de systèmes d'IA, la CNIL admet que l'intérêt légitime peut fonder une collecte par moissonnage, et sa fiche focus dédiée au web scraping liste les garanties attendues : respecter les restrictions exprimées par les sites sources (CGU, robots.txt, CAPTCHA), exclure par défaut les sites aux données particulièrement intrusives (forums de santé, par exemple), minimiser la collecte, renforcer la transparence et faciliter l'exercice des droits. Ignorer un robots.txt ou des CGU restrictives fait sortir le traitement des « attentes raisonnables » des personnes, et donc de l'intérêt légitime.
Pour un opérateur français, la grille CNIL est donc le meilleur test pratique — et le premier document que je mettrais entre les mains d'une équipe qui débute : si votre projet de moissonnage ne passe pas ses garanties, votre analyse d'intérêt légitime ne tiendra probablement pas.
L'exception TDM en droit français : l'article L.122-5-3 du CPI
La directive DSM a été transposée en droit français par l'ordonnance n° 2021-1518 du 24 novembre 2021, qui a créé l'article L.122-5-3 du Code de la propriété intellectuelle. Il reprend la structure européenne : la fouille de textes et de données à des fins de recherche scientifique est libre pour les organismes de recherche (II), et la fouille par toute personne, quelle qu'en soit la finalité, est permise sur les contenus licitement accessibles sauf opposition du titulaire de droits, exprimée notamment « par des procédés lisibles par machine » pour les contenus en ligne (III). Un dispositif miroir existe pour le droit sui generis des bases de données à l'article L.342-3 du même code. Les copies réalisées pour la fouille doivent être stockées de manière sécurisée puis détruites à l'issue de l'opération. Concrètement : en France comme ailleurs dans l'UE, un opt-out lisible par machine, tel qu'un robots.txt restrictif, fait tomber l'exception TDM commerciale.
La jurisprudence française : l'affaire leboncoin
La décision de référence sur le scraping en France est l'affaire leboncoin contre Entreparticuliers.com. Ce dernier collectait quotidiennement les annonces immobilières publiées sur leboncoin.fr pour les retransmettre à ses abonnés. La cour d'appel de Paris, le 2 février 2021, a reconnu à LBC France la qualité de producteur de base de données et jugé que l'extraction et la réutilisation d'une partie substantielle de sa sous-base « immobilier » violaient le droit sui generis, condamnant Entreparticuliers.com à 50 000 euros de préjudice financier et 20 000 euros de préjudice d'image. La Cour de cassation a confirmé cette analyse le 5 octobre 2022, en validant la démonstration des investissements substantiels consacrés à l'obtention, à la vérification et à la présentation du contenu de la plateforme.
La leçon française rejoint celle de Ryanair v. PR Aviation : même des annonces factuelles, publiques et librement consultables peuvent être protégées en bloc par le droit sui generis dès lors que la base qui les héberge a demandé un investissement substantiel. En France, « ce sont des données publiques » n'a jamais suffi comme défense.
Principes universels valables presque partout
Les juridictions diffèrent, mais quatre questions prédisent le risque du scraping dans presque toutes.
| Facteur | Risque plus faible | Risque plus élevé |
|---|---|---|
| Accès | Pages publiques, sans login ni paywall | Derrière une authentification, un paywall ou des blocages techniques qui vous visent spécifiquement |
| Type de données | Prix, disponibilité, caractéristiques, classements, statistiques agrégées | Données personnelles, œuvres créatives complètes, bases de données protégées entières |
| Accord | Pas de compte, browsewrap uniquement, accès déconnecté | Conditions clickwrap acceptées, scraping en étant connecté |
| Comportement | Débit limité, mise en cache, heures creuses, robot identifié | Volume de requêtes qui dégrade le service cible |
Le point de vue de l’ingénieur (Hinata) : ces quatre facteurs n'ont pas le même coût de correction, et c'est ce qui devrait dicter vos priorités. L'accès et le type de données sont des décisions d'architecture : un pipeline qui suppose une session authentifiée ou stocke des champs nominatifs ne se « régularise » pas après coup, il se reconstruit. Le comportement, lui, se corrige par une ligne de configuration sur le débit. Le piège que je surveillerais en priorité est la dérive silencieuse du type de données : un scraper conçu pour des prix finit souvent par ingérer noms de vendeurs et numéros de téléphone, et bascule côté RGPD sans qu'aucune décision explicite n'ait été prise. Figez la liste des champs collectés dans le schéma, pas dans le code du parseur.
Trois corollaires pratiques :
- Public contre authentifié : la ligne la plus nette. Les issues des affaires hiQ et Bright Data en dépendaient, et l'analyse CFAA commence en pratique là. Tout ce qui se trouve derrière un login relève d'un autre univers juridique ; ce site ne publie aucune technique en ce sens.
- Les données personnelles changent tout. Dès que les enregistrements collectés identifient des personnes, le RGPD (et les lois de type CCPA aux États-Unis) impose des obligations, quel que soit le caractère public de la source. En France, ajoutez la doctrine CNIL sur la prospection.
- Le droit d'auteur suit l'expression, pas l'effort — mais l'UE protège aussi l'effort. Extraire des points de données factuels est généralement plus sûr que reproduire les textes, images ou la structure éditoriale qui les entourent ; dans l'UE et en France, le droit sui generis des bases de données ajoute une couche distincte, comme l'a montré l'affaire leboncoin.
À quoi ressemble un scraping conforme en pratique
Les équipes qui scrapent à grande échelle pour des finalités légitimes, comme la veille tarifaire ou le suivi de positions SEO, convergent vers les mêmes règles de fonctionnement :
- Ne scraper que des pages publiquement accessibles ; ne jamais s'authentifier, ne jamais contourner paywalls ou contrôles d'accès techniques.
- Préférer les API officielles ou les flux de données sous licence lorsqu'ils existent et couvrent le besoin.
- Respecter le robots.txt et les opt-out TDM lisibles par machine, en particulier pour les contenus pertinents pour l'UE et la France.
- Minimiser : collecter les champs nécessaires, pas des pages entières, et exclure les données personnelles sauf analyse RGPD documentée.
- Limiter le débit et planifier les crawls pour que votre trafic reste négligeable par rapport à la charge normale de la cible.
- Documenter : ce que vous collectez, où, sur quelle analyse juridique, et qui a validé.
- Prendre les mises en demeure au sérieux : continuer après une révocation explicite transforme une zone grise en litige documenté.
Mon conseil de priorisation : la règle 1 est non négociable dès la conception, et la règle 6, la plus négligée, est celle qui vous sauvera le jour où une mise en demeure arrive.
Pour le versant technique des crawlers polis et fiables, voyez notre guide comment scraper sans se faire bloquer ; pour la vue d'ensemble d'un pipeline de collecte, commencez par le guide complet du web scraping.
Pourquoi les fournisseurs de proxies vérifient désormais leurs clients
La couche d'infrastructure a intégré ce paysage juridique. Les grands fournisseurs de proxies résidentiels ne vendent plus anonymement à quiconque possède une carte bancaire, et leurs programmes de conformité publiés sont un signal utile au moment de choisir un fournisseur :
- Bright Data réserve l'accès à son réseau résidentiel aux entreprises vérifiées ayant passé un processus KYC avec revue humaine, incluant la vérification d'un e-mail professionnel, une description du cas d'usage et, le cas échéant, un appel de présentation et une pièce d'identité officielle, selon sa politique KYC publiée.
- Oxylabs exige de chaque client un formulaire KYC à l'inscription, applique une escalade fondée sur le risque (vérification d'identité, appels de conformité) et est membre de l'Ethical Web Data Collection Initiative, selon sa politique KYC et de sécurité.
- Decodo (anciennement Smartproxy) exécute des contrôles antifraude automatisés et un KYC à chaque inscription et bloque activement les cibles à haut risque comme les banques, les portails gouvernementaux et les sites de billetterie, selon sa documentation sécurité et conformité.
- IPRoyal confie son KYC au vérificateur tiers iDenfy ; il est obligatoire pour les proxies résidentiels statiques et les comptes non vérifiés restent partiellement restreints, selon sa politique KYC.
Conséquence pratique : si votre cas d'usage ne survivrait pas au questionnaire KYC d'un fournisseur, il y a fort à parier qu'il ne survivrait pas non plus à l'examen d'un juge. Comprendre ce qu'est un proxy résidentiel et comment ces réseaux sourcent leurs IP fait partie de la même diligence.
L'essentiel
Le web scraping est légal par défaut et illicite par circonstance. Aux États-Unis, la saga hiQ v. LinkedIn et Van Buren ont écarté le CFAA du scraping de données publiques, tandis que les actions contractuelles et de droit d'auteur restent pleinement vivantes. Dans l'UE, le RGPD régit toute donnée personnelle que vous touchez, et l'exception TDM de l'article 4 de la directive DSM, avec son opt-out lisible par machine, encadre la fouille commerciale de contenus protégés. En France, ajoutez la doctrine CNIL sur le moissonnage et la prospection, l'article L.122-5-3 du CPI et la jurisprudence leboncoin sur le droit sui generis des bases de données. Où que vous opériez, la formule à faible risque reste stable : pages publiques, pas de login, pas de données personnelles, respect des opt-out, débit modéré et documentation de la légitimité de votre finalité. Dans le doute, consultez un avocat avant de lancer un crawler.