La base légale de l’intérêt légitime : fiche focus sur les mesures à prendre en cas de collecte des données par moissonnage (web scraping)

19 juin 2025

La collecte des données accessibles en ligne par moissonnage (web scraping) doit être accompagnée de mesures visant à garantir les droits des personnes concernées.

La collecte de données personnelles accessibles en ligne par moissonnage (web scraping) reposant généralement sur l’intérêt légitime, le responsable du traitement devra mettre en œuvre certaines mesures additionnelles, permettant de limiter l’atteinte qu’elle peut porter aux intérêts, droits et libertés des personnes.

Rappel sur la doctrine de la CNIL

Le moissonnage des données accessibles en ligne s’est fortement développé, notamment avec l’essor rapide et généralisé des systèmes d’IA générative, qui ont recours à de vastes quantités de données librement accessibles en ligne. Il existe toutefois des risques inhérents à l’utilisation de telles techniques pour les droits et libertés des personnes, qui ne maîtrisent pas les réutilisations de leurs données accessibles en ligne.

La généralisation des pratiques de moissonnage a ainsi opéré un changement de nature quant à l’utilisation d’internet, dans la mesure où toutes les données publiées en ligne par une personne sont désormais susceptibles d’être lues, collectées et réutilisées par des tiers, ce qui peut présenter des risques importants pour les personnes, dont notamment les risques suivants :

Les risques d’atteinte à la vie privée et aux droits garantis par le RGPD : l’utilisation de ces outils peut entraîner des impacts importants sur les personnes, du fait du grand volume de données collectées, du nombre important de personnes concernées, des difficultés liées à l’exercice ultérieur du droit d’effacement, du risque que soient collectées des données relevant de la vie privée des personnes (par ex. utilisation des réseaux sociaux) voire des données sensibles ou hautement personnelles, en l’absence de garanties suffisantes. Ces risques sont d’autant plus importants qu’ils peuvent également concerner les données de personnes vulnérables, comme des mineurs, qui doivent faire l’objet d’une attention particulière et être informés de manière suffisamment adaptée.
Le risque de procéder à une collecte illégale : certaines données peuvent être protégées par des droits spécifiques, notamment des droits de propriété intellectuelle, ou leur réutilisation conditionnée au consentement des personnes.
Les risques d’atteinte à la liberté d’expression : une collecte indifférenciée et massive de données et leur absorption dans des dispositifs d’IA susceptibles de les régurgiter peuvent affecter la liberté d’expression des personnes concernées (sentiment de surveillance qui qui pourrait conduire les internautes à s’auto-censurer, d’autant plus au regard des difficultés à soustraire les données publiées aux pratiques de moissonnage), alors même que l’utilisation de certaines plateformes et d’outils de communication est nécessaire au quotidien.

Pour autant, le moissonnage n’est pas interdit en lui-même mais doit faire l’objet d’une analyse au cas par cas. Cependant, la CNIL a régulièrement appelé à la vigilance concernant ces pratiques, tout en émettant une série de préconisations à respecter pour pouvoir les mettre en œuvre. Ella a également plusieurs fois appelé à ce que le moissonnage par les administrations publiques fasse l’objet d’un encadrement législatif ad hoc (voir notamment l’avis de la CNIL du 15 décembre 2022 sur le projet « Polygraphe »).

Dans certains cas, la CNIL a eu l’occasion de considérer que de telles pratiques étaient interdites en l’absence d’un tel encadrement juridique (notamment lorsque les traitements sont mis en œuvre par des autorités compétentes à des fins de détection d’infraction). A l’inverse, elles ont été admises dans d’autres cas de figure, sous réserve de la mise en place de garanties fortes, par exemple pour la recherche sur internet de fuites d’informations (RIFI).

Pour l’instant, en l’absence d’un encadrement juridique spécifique, cette fiche rappelle les obligations des responsables de traitements et précise les conditions dans lesquelles de tels traitements pourraient être mis en œuvre pour le développement d’un système d’IA.

La légalité des pratiques de moissonnage dépend notamment de la possibilité de mobiliser une base légale valide. La collecte de données accessibles en ligne pour la constitution d’une base de données d’apprentissage peut se fonder sur la base légale de l’intérêt légitime à condition d’en respecter les conditions rappelées dans la fiche relative à l’intérêt légitime (voir la fiche « Mobiliser la base légale de l’intérêt légitime pour développer un système d’IA »).

Les risques d’atteinte à d’autres réglementations

Si le recours à des techniques de moissonnage n’est pas en soi incompatible avec les exigences du RGPD, il peut être interdit par d’autres réglementations (par exemple par des conditions générales d’utilisation qui s’appuieraient sur le droit des producteurs de bases de données ou sur le droit d’auteur). A cet égard, les organismes de recherche peuvent envisager de bénéficier de l’exception de « fouille de texte et de données » en vertu du code de la propriété intellectuelle (art. L122-5 et 122-5-3), sauf si l'auteur s'y est opposé de manière appropriée, notamment par des procédés lisibles par machine pour les contenus mis à la disposition du public en ligne. Cela inclut les métadonnées et les conditions générales d'utilisation d'un site internet ou d'un service (considérant 18 de la directive 2019/790 du 17 avril 2019 sur le droit d'auteur et les droits voisins).

Les mesures obligatoires

Certaines mesures sont obligatoires notamment au titre du principe de minimisation des données (article 5.1.c du RGPD) :

définir, en amont, des critères précis de collecte ;
exclure de la collecte certaines catégories de données lorsqu’elles ne sont pas nécessaires ;
- lorsque c’est possible, par l’intermédiaire de filtres (par exemple, si elles ne sont pas nécessaires, les données de transaction bancaire, données de géolocalisation, etc.) ;
- lorsqu’il n’est pas possible de les filtrer, exclure de la collecte certains types de sites (par exemple, les sites ou réseaux sociaux utilisés majoritairement par des personnes mineures) qui contiennent structurellement ces catégories de données (par exemple les données concernant des personnes vulnérables comme des mineurs ou encore certaines données sensibles) ;
veiller à supprimer les données non pertinentes qui auraient pu être collectées malgré ces critères immédiatement après leur collecte ou dès qu’elles sont identifiées comme telles (par exemple si, sur un forum public, les pseudonymes de personnes sont collectés alors que seul le contenu des commentaires est nécessaire).
exclure de la collecte les sites qui s’opposent clairement au moissonnage de leur contenu à des fins de constitution de bases de données pour d’entrainement, par l’utilisation des protocoles d’exclusion robots.txt ou la mise en place de CAPTCHA, qui, en imposant une action qui ne peut être effectuée que par un être humain, vise à interdire l’accès aux pages à des robots.

Comment les éditeurs de site peuvent-ils protéger leur contenu du moissonnage ?

Différents moyens permettent à un éditeur de site d’exprimer son opposition au moissonnage du contenu, sans qu’il n’existe toutefois de standards en la matière (voir notamment le rapport de mission d’Alexandra Bensamoun sur la mise en œuvre du règlement sur l’IA en matière de droit d’auteur).

La CNIL encourage en outre les organismes à participer à l’effort de standardisation de mécanismes d’opposition intéropérables et à se conformer aux nouveaux standards susceptibles d’émerger, par la mise en œuvre de technologies correspondant à l’état de l’art.

S’ils souhaitent protéger le contenu de leur site, les éditeurs de site doivent mettre en place un protocole d’exclusion robot.txt ou des CAPTCHAs, que le responsable du traitement est tenu de respecter.

Les éditeurs de sites sont également encouragés à mettre en place d’autres mesures. Il est possible de distinguer les mesures bloquantes – qui visent à empêcher techniquement à des robots (« crawlers ») d’accéder au contenu - des mesures non bloquantes - qui n’empêchent pas en pratique la collecte mais décrivent les règles voulues par l’éditeur du site en la matière.

Mesures bloquant l’accès au site :

Intégration de tests de type CAPTCHA (« Completely Automated Public Turing test to tell Computers and Humans Apart ») ;
Blocage d’adresses IP : analyse de l’en-tête de requêtes HTTP, du nombre de requêtes, détection d’adresses IP « suspectes » (localisation, fournisseur d’accès à internet) ; tenue d’un registre d’adresses IP, d’appareils, de VPNs connus pour héberger des robots de scraping ; détection de robots dissimulés par des requêtes aux APIs des navigateurs ;

Mesures non- bloquantes :

D’autres protocoles d’exclusion (outre robots.txt, ai.txt (Spawning AI), TDMRep (tdmrep.json, W3C) ;
Chargement de page dynamique (Dynamic Page Loading) pour limiter le contenu HTML brut du site ;
Usage de meta tags (par exemple, les meta tags « noai » ou « noimageai » de DeviantArt) ;
Enregistrement du domaine dans un registre d’opposition à la collecte à des fins de développement de modèles et systèmes d’IA (par exemple « do-not-train »).

Que faire en cas de collecte incidente de données sensibles ?

Il convient de faire preuve d’une attention particulière à la collecte de données sensibles lors de l’utilisation d’outils de moissonnage (web scraping) qui impliquent le traitement de larges volumes de données. Le responsable du traitement est tenu de mettre en œuvre toutes les mesures permettant d’exclure automatiquement la collecte de données sensibles non pertinentes notamment en appliquant des filtres permettant d’exclure la collecte de certaines catégories de données ou encore d’exclure certains sites comportant des données sensibles par nature.

Si, malgré les mesures prises, l’organisme traite de manière incidente et résiduelle des données sensibles qu’il n’avait pas cherché à collecter, cela n’est pas considéré comme illégal. C’est notamment ce qu’a pu considérer la cour de justice de l’Union européenne en rappelant que cette interdiction s’applique à l’exploitant d’un moteur de recherche « dans le cadre de ses responsabilités, de ses compétences et de ses possibilités » (CJUE, grande chambre, 24 septembre 2019, GC e.a, C-136/17). En revanche, si l’organisme vient à savoir qu’il traite des données sensibles, notamment par le biais de la personne concernée, il est tenu de procéder, autant que possible, à leur suppression immédiate et automatisée.

Pour rappel, le traitement de données sensibles peut être autorisé par exception lorsqu’il porte sur des données personnelles qui sont manifestement rendues publiques par la personne concernée. Il convient de vérifier si la personne concernée souhaitait, de manière explicite et par un acte positif clair, sur la base d’un paramétrage effectué en connaissance de cause, rendre accessibles au grand public ses données personnelles ou, au contraire, à un nombre plus ou moins limité de personnes sélectionnées (CJUE, 4 juillet 2023, Meta Platforms, C-252/21).

Pour plus d’informations : voir la fiche « Assurer que le traitement est licite ».

Respecter les attentes raisonnables

Les garanties supplémentaires

Par ailleurs, le responsable du traitement doit généralement mettre en œuvre des garanties supplémentaires pour limiter l’atteinte aux droits et libertés des personnes. Comme indiqué dans la fiche « Mobiliser la base légale de l’intérêt légitime pour développer un système d’IA », le choix des mesures appropriées dépend notamment de l’usage prévu pour l’IA entraînée et de l’impact effectif de ce système sur les personnes concernées. La CNIL recommande notamment la mise en œuvre des mesures suivantes :

établir une liste de sites dont la collecte serait exclue par défaut. Cela concernerait certains sites qui contiennent des données particulièrement intrusives compte tenu de leur sensibilité (comme les sites pornographiques, les forums de santé, etc.) ou du niveau d’information qu’elles permettent d’obtenir sur les personnes (comme les sites généalogiques ou qui contiennent de larges volumes de données structurées sur les personnes) ;
exclure la collecte pour les sites qui s’opposent au moissonnage de leur contenu ou à sa réutilisation à des fins de constitution de bases de données pour l’entrainement de systèmes d’IA par l’intermédiaire de mesures techniques ou juridiques, comme des CGU ;
limiter la collecte aux données librement accessibles (c’est-à-dire aux contenus accessibles à tout utilisateur non inscrit sur le site en question et sans création d’un compte) et que les personnes ont conscience de rendre publiquement accessibles. Cela revient à exclure par exemple les données publiées sur les réseaux sociaux dans le cadre d’une utilisation privée (informations contenues sur les profils ou les groupes privés) et ou publiées sur certains dont la caractère public n’est pas évident (sites de pétitions en ligne par exemple) ;
diffuser le plus largement possible les informations relatives à la collecte et aux droits des personnes en multipliant les supports de diffusion (par exemple par l’intermédiaire d’articles en ligne, sur les comptes de réseaux sociaux du responsable du traitement), en publiant une liste mise à jour des sites concernés par les pratiques de moissonnage (voir la fiche sur l’information des personnes sur les informations à communiquer concernant les sources). La diffusion de l’information par le biais de l’éditeur du site où les données sont collectées peut constituer une bonne pratique ;
prévoir un droit d'opposition discrétionnaire et préalable afin de renforcer le contrôle des personnes sur leurs données. La CNIL encourage le développement de solutions techniques qui permettraient de faciliter le respect de l’exercice du droit d’opposition en amont de la collecte des données. Outre les dispositifs d’opt out mis en place en matière de propriété intellectuelle (voir encadré plus haut), des mécanismes de « liste repoussoir » pourraient par exemple être mis en œuvre lorsque c’est adapté au traitement. Cela permettrait au responsable du traitement de respecter l’opposition des personnes en s’abstenant de collecter les données de ces dernières ;
appliquer des procédés d’anonymisation ou de pseudonymisation juste après la collecte des données ;
prévenir tout recoupement de données à partir des identifiants des personnes, par exemple en les remplaçant par des pseudonymes aléatoires propre à chaque contenu (par exemple à chaque publication sur un forum librement accessible en ligne) et non à chaque identifiant, à moins que le responsable du traitement ne démontre la nécessité de pouvoir regrouper différentes données concernant une personne en particulier pour le développement du système ou du modèle d’IA en cause.

À noter : Il appartient au responsable du traitement de juger de la pertinence et de la nécessité de mettre en place ces mesures au cas par cas, en tenant compte des modalités spécifiques du traitement.

Par exemple : Un organisme qui collecte de nombreux enregistrements vocaux en ligne afin de développer et commercialiser un outil de génération de voix, sans prendre aucune garantie supplémentaire pour protéger les données d’entraînement ni limiter les risques de réutilisation illicite ou malveillante, ne peut pas se fonder sur la base légale de l’intérêt légitime.

< Fiche précédente : Mobiliser la base légale de l’intérêt légitime pour développer un système d’IA

Sommaire

Fiche suivante : Informer les personnes concernées >