Donnees.net / Privacy by design

Scraping & RGPD : Jusqu’où pouvez-vous aller ?

Thomas Blanc
Thomas Blanc
DPO externalisé et Formateur RGPD
Mis à jour le juin 24, 2025

Privacy by design : pourquoi nous ?

  • ✅ Privacy dès la conception
  • ✅ Analyse des risques
  • ✅ Intégration simple

Le web est une mine d’or. Profils, avis, produits, contenus : tout est là, accessible en quelques requêtes. Et dans un monde où la donnée est un carburant stratégique, le web scraping s’est imposé comme un réflexe pour les pros du marketing, de la data et de l’IA.

📊 Que ce soit pour nourrir vos dashboards, entraîner un modèle LLM ou repérer les tendances marché, automatiser la collecte de données semble évident. Mais… il y a un hic. Depuis juin 2025, la CNIL a resserré le cadre. On décrypte.

Le web scraping est-il légal en Europe ?

Oui… mais pas à la légère.

Contrairement à ce que certains croient, le RGPD n’interdit pas formellement le scraping de données personnelles disponibles en ligne. Vous pouvez donc collecter des informations accessibles au public… à condition de le faire dans les règles de l’art.

👉 En clair : ce n’est pas parce qu’une donnée est publique qu’elle est libre de droits. Le RGPD protège les personnes, pas la confidentialité de la donnée. Et c’est là toute la subtilité.

Le traitement doit reposer sur une base légale solide (souvent l’intérêt légitime), respecter les droits des personnes concernées, et ne pas générer de risques disproportionnés (vie privée, liberté d’expression, données sensibles…).

🎯 Si vous collectez sans transparence, sans objectif précis ou à grande échelle, vous risquez de basculer dans l’illégalité sans même le savoir.

L’intérêt légitime : votre base légale (mais pas votre passe-droit)

Parmi les 6 bases légales prévues par le RGPD, c’est l’intérêt légitime qui est le plus souvent invoqué pour justifier le scraping. Et c’est logique : consentement impossible à obtenir, données publiques, traitement à faible impact supposé…

Mais attention : ce n’est pas un totem d’immunité.
L’intérêt légitime n’est recevable que si vous tenez la ligne sur trois critères clés :

  1. Finalité claire et légitime : vous devez démontrer un objectif réel, proportionné, lié à votre activité. Scraper pour “voir ce qu’on peut en faire plus tard” ? Éliminé.
  2. Nécessité du traitement : pas d’alternative moins intrusive ? Alors justifiez-le. La CNIL y est très attentive.
  3. Équilibre des intérêts : votre intérêt ne doit pas porter atteinte aux droits fondamentaux des personnes concernées. C’est le nerf de la guerre.

🔒 Et là, le RGPD demande du concret :

  • DPIA bien ficelée
  • Information (même indirecte) des personnes
  • Mesures de limitation (durée de conservation, filtrage, pseudonymisation…)

💡 Exemple : Scraper des profils LinkedIn pour créer un fichier de prospection sans informer les personnes concernées = traitement jugé non conforme. Pourquoi ? Car les personnes ne s’attendent pas raisonnablement à ce que leurs données soient aspirées à ces fins.

Les 3 risques majeurs à ne pas sous-estimer

1. Atteinte à la vie privée : la frontière est plus fine qu’il n’y paraît

Vous scrapez des profils, des posts publics, des avis clients ? Vous pensez être dans les clous parce que les données sont accessibles à tous ? Erreur fréquente.

👉 Le RGPD ne s’intéresse pas à la “publicité” de la donnée, mais à sa nature et à l’impact de sa réutilisation.

  • Un profil LinkedIn est public ? Oui.
  • Est-il pour autant réutilisable pour faire du scoring, de la veille RH ou de la segmentation marketing sans consentement ? Non, sauf conditions très strictes.

Cas sensibles : données d’enfants, localisation précise, opinions, photos, religion, santé.
➡️ Ce sont des données sensibles ou hautement personnelles, et leur traitement est très encadré, même si vous les collectez sur un blog ou un réseau social.

2. Illégalité par rebond : le RGPD n’est pas votre seul juge

Même si vous respectez le RGPD à la lettre, vous pouvez tomber sous d’autres filets juridiques. Et là, ça peut faire très mal.

  • Droit d’auteur : vous scrapez un site de presse ou un répertoire artistique ? Ces contenus sont souvent protégés.
  • CGU interdites : beaucoup de plateformes interdisent le scraping dans leurs conditions générales. Enfreindre ces règles peut entraîner des poursuites.
  • Droit des producteurs de bases de données : certaines bases (ex. immobilières, e-commerce) sont protégées même si les données ne le sont pas individuellement.

🔍 Conseil pratique : toujours analyser les CGU, les mentions légales et les balises techniques (robots.txt, meta “noindex/nosnippet”).

3. Effet de censure : un impact invisible mais réel

Moins connu mais redouté par les autorités : le “chilling effect” ou effet de refroidissement.

En clair, si les internautes savent (ou soupçonnent) que leurs données peuvent être aspirées massivement, ils vont s’auto-censurer.
Surtout sur des sujets sensibles (santé, sexualité, politique…).

📌 La CNIL le rappelle : une collecte trop vaste, sans transparence ni garantie, porte atteinte à la liberté d’expression. Et ça, c’est un signal rouge pour les régulateurs européens.

Comment scraper en respectant le RGPD (et dormir tranquille) ?

Voici votre checklist RGPD spéciale scraping à suivre à la lettre :

ActionPourquoi c’est crucial
✅ Réaliser une analyse d’impact (DPIA)Obligatoire si données à risque ou en volume
✅ Informer les personnes concernéesTransparence obligatoire (même indirecte)
✅ Limiter les finalitésNe scrapez que ce qui est nécessaire
✅ Mettre en place des garanties techniquesFiltrage, anonymisation, audit logs…
✅ Respecter le principe de proportionnalitéPas de collecte “au cas où”
✅ Gérer les droits d’accès, suppression, oppositionMême pour les données publiques

Cas concret : vous scrapez pour entraîner une IA

Vous développez un modèle d’IA générative, un moteur de recommandation ou un chatbot métier ? Vous avez sans doute besoin de grandes quantités de données… souvent issues du web.

Mais attention : entraîner une IA via du scraping soulève des enjeux RGPD majeurs. Voici ce que la CNIL attend clairement de vous :

1. Justifiez par l’intérêt légitime (et prouvez-le)

Il ne suffit pas d’invoquer l’intérêt de développer une IA. Vous devez démontrer :

  • que ce traitement est nécessaire à votre finalité (pas d’alternative moins intrusive),
  • que les impacts sur les droits des personnes sont limités et maîtrisés,
  • et que vos objectifs sont clairs, précis, documentés.

Exemple : entraîner une IA pour modérer des contenus haineux est un intérêt légitime… mais vous devez prouver que cela n’exige pas de collecter des données sensibles de manière massive.

2. Filtrez vos sources avec rigueur

Les forums, réseaux sociaux, plateformes vidéo : autant de zones à haut risque. Certaines données peuvent y être très personnelles, parfois même sensibles sans que les utilisateurs en aient conscience.

Bonnes pratiques :

  • Exclure automatiquement les domaines à risque (via whitelist)
  • Détecter et écarter les données sensibles (santé, sexualité, opinions…)

3. Mettez en place un opt-out simple et efficace

Même si vous scrapez des données publiques, les personnes doivent pouvoir :

  • être informées du traitement (directement ou via une politique accessible),
  • s’opposer facilement à l’utilisation de leurs données.

💡 Astuce : créez une page dédiée “opt-out IA” expliquant la finalité du scraping et offrant un formulaire simple.

4. Documentez chaque étape dans votre registre

Le scraping pour IA est un traitement à haut risque : tout doit être traçable, justifiable, vérifiable. Tenez à jour :

  • vos DPIA (analyses d’impact),
  • vos registres d’activité,
  • les sources utilisées,
  • les mécanismes de filtrage.

➡️ En cas de contrôle, c’est ce dossier qui fera la différence entre une IA “compliant” et un projet retoqué.

Et côté droit d’auteur ? Ne tombez pas dans le piège

Le RGPD n’est pas votre seul cadre légal. Trop souvent, les scrapeurs oublient un point clé : le contenu que vous collectez est peut-être… protégé.

Même si une page est librement accessible, cela ne veut pas dire que vous avez le droit de la copier ou de la réutiliser. Plusieurs mécanismes peuvent interdire ou restreindre le scraping :

  • Les CGU d’un site : si elles interdisent explicitement le scraping ou l’usage automatisé, vous vous exposez à des poursuites civiles.
  • Les mentions légales : elles peuvent conditionner la réutilisation à un accord explicite.
  • Le fichier robots.txt : même s’il n’a pas de force légale, il montre la volonté de l’éditeur de limiter l’accès automatisé.
  • Les balises lisibles par machine (meta noindex, data licensing tags…) : prévues par la Directive 2019/790, elles permettent à l’auteur d’opposer son droit au scraping automatisé.

💡 En pratique : toujours vérifier ce que dit le site avant de lancer votre robot. Le scraping “aveugle” = mauvaise idée.

Et l’exception pour la recherche ?

Bonne nouvelle pour les chercheurs : la loi prévoit une exception de “fouille de texte et de données” (text and data mining), intégrée dans le Code de la propriété intellectuelle (art. L122‑5‑3).

Mais attention, cette exception ne s’applique que si :

  • vous êtes un organisme de recherche ou une institution culturelle,
  • vous ne vendez pas ou ne commercialisez pas les résultats,
  • et l’auteur ne s’est pas opposé par un mécanisme technique (robots.txt, metatags…).

📌 Traduction : vous êtes une startup privée qui scrape du contenu pour entraîner une IA SaaS ? 👉 Cette exception ne vous couvre pas.

Et maintenant ? Le scraping, oui. Mais version 2025.

Que vous utilisiez le scraping pour :

  • faire de la veille concurrentielle ultra-ciblée,
  • alimenter un modèle d’IA ou un moteur de recherche interne,
  • enrichir votre base CRM avec des signaux faibles,
  • détecter des fuites de données ou surveiller votre e-réputation…

➡️ La réponse n’est pas d’arrêter. C’est de professionnaliser vos pratiques.

Aujourd’hui, scraper, c’est comme manipuler un produit chimique : c’est puissant, mais ça peut vous exploser à la figure sans précaution.

Ce que la CNIL attend de vous, ce n’est pas la perfection, c’est :

  • une intention légitime clairement documentée,
  • une approche maîtrisée, transparente et proportionnée,
  • des garanties concrètes, pas juste des déclarations de principe.

🗂️ Documentez tout : vos finalités, vos sources, vos choix techniques, vos mesures de sécurité. Et formez vos équipes à ce nouveau cadre.

En 2025, le scraping éthique et conforme est un avantage concurrentiel. Ceux qui le maîtrisent prennent de l’avance. Les autres prennent des risques.

FAQ – Scraping & RGPD : les questions à traiter

Le scraping peut-il être sous-traité sans transférer la responsabilité juridique ?

Non. Déléguer la partie technique à un prestataire n’éteint aucune de vos obligations RGPD. En tant que responsable de traitement, vous restez pleinement responsable :

  • de la base légale,
  • de la transparence,
  • des garanties mises en œuvre.

🔍 Vous devez contractualiser avec votre sous-traitant (article 28 RGPD), intégrer le scraping dans vos analyses d’impact, et vérifier sa conformité technique (logs, filtres, sécurité…).

Peut-on scraper des données personnelles hébergées en dehors de l’UE ?

Oui, mais le traitement reste soumis au RGPD si :

  • les personnes ciblées sont situées dans l’UE,
  • ou si l’usage des données concerne des services proposés à l’UE.

En clair, scraper un site hébergé aux États-Unis mais contenant des profils européens vous expose aux règles du RGPD. Pire : en cas de transfert hors UE (vers votre data lake US, par ex.), vous devez mettre en place des garanties supplémentaires (clauses types, BCR, etc.).

Peut-on faire du scraping “pré-RGPD”, c’est-à-dire collecter aujourd’hui pour une finalité encore non définie ?

C’est précisément ce que le RGPD interdit. Toute collecte doit reposer sur une finalité :

  • déterminée,
  • explicite,
  • et légitime.

Scraper en mode “au cas où” pour stocker des données et réfléchir plus tard à ce qu’on en fera, c’est du traitement illégal par définition.

Doit-on reconsidérer la base légale si l’usage des données scrapées évolue ?

Absolument. Le RGPD impose une cohérence stricte entre la finalité de la collecte et celle du traitement.
➡️ Si vous scrapez à des fins de veille, puis que vous décidez de nourrir un modèle d’IA ou de scorer des prospects, vous devez :

  • réévaluer la base légale,
  • actualiser votre registre,
  • et potentiellement réinformer les personnes concernées.

Existe-t-il des outils pour automatiser le RGPD dans un projet de scraping ?

Oui, certaines solutions permettent de :

  • gérer les logs de scraping,
  • intégrer des filtres RGPD (mineurs, données sensibles, etc.),
  • produire des rapports de conformité (DPIA, journalisation),
  • crawler uniquement les pages “scrapables” selon robots.txt + balises.

Posez une question

Un expert vous répondra

Publications similaires