Scraper des emails sur LinkedIn pour sa prospection : c’est légal, ça ?

Certaines pratiques numériques courantes restent juridiquement ambiguës pour les non-initiés. Entre usages bien ancrés, zones grises du droit et récentes évolutions réglementaires, il est difficile de savoir précisément ce qui est autorisé, toléré ou interdit. Pour y voir plus clair, BDM publie une série d’articles qui explorent la légalité de ces pratiques, avec l’éclairage d’avocats spécialisés en droit du numérique et en propriété intellectuelle.

Dans cet article, nous nous penchons sur le scraping d’adresses email issues de LinkedIn afin de réaliser des missions de prospection. Pour explorer les conditions légales de ce type de pratique, BDM a interrogé Maître Alan Walter, du cabinet Walter Billet Avocats, et Maître Yann-Maël Larher, du cabinet YML Avocat.

LinkedIn : une mine d’or pour les adresses email

Avec plus de 26 millions d’utilisateurs en France, LinkedIn concentre une quantité considérable de données personnelles et professionnelles : identité, poste occupé, parcours académique, expérience, centres d’intérêt, et parfois même une adresse e-mail de contact.

Pour les équipes commerciales et marketing, ce réservoir d’informations peut apparaître comme un eldorado. La promesse est simple : accéder à des profils qualifiés et entrer directement en relation avec eux, sans passer par des bases de données tierces ni par les canaux traditionnels de prospection. Pour ce faire, de nombreux marketeurs ont recours à des outils de scraping, qui permettent d’extraire automatiquement des données en ligne. Certaines solutions techniques permettent, en quelques clics, de constituer des fichiers entiers de contacts, avec noms, fonctions et adresses e-mails.

Mais, sans surprise, cette pratique se heurte à des contraintes légales car, si le scraping offre une efficacité redoutable en matière de prospection, il touche directement à des données sensibles et à l’usage que l’on en fait.

Prospection B2C : le consentement avant tout

« Il existe aujourd’hui de nombreux outils et extensions qui permettent de scraper automatiquement des données personnelles, comme les noms, fonctions ou adresses e-mails, dans un but de prospection commerciale. Ces solutions, souvent présentées comme des leviers de growth hacking, peuvent sembler attractives, mais elles sont rarement légales pour ceux qui les utilisent », estime Maître Yann-Maël Larher. L’avocat rappelle en effet que « le consentement explicite est requis en cas de prospection vers des particuliers ou lorsque les données ont été collectées en dehors d’un cadre clair ». LinkedIn étant avant tout un espace où chacun met en avant son profil à titre personnel, l’utilisation de ces données sort rapidement du cadre légal lorsqu’il s’agit de démarcher des particuliers. En d’autres termes, le fait qu’une adresse e-mail soit accessible sur LinkedIn ne lève pas les obligations du RGPD.

Maître Alan Walter abonde : « Pour la prospection commerciale de particuliers, l’article L.34-5 du Code des postes et des communications électroniques prohibe toute prospection directe d’un utilisateur sans son accord préalable et explicite. » Mais le spécialiste de la propriété intellectuelle et de la protection des données rappelle tout de même quelques exceptions :

• Lorsque les données personnelles ont « pour finalité exclusive de permettre ou faciliter la communication par voie électronique ».
• Lorsque les données sont strictement nécessaires à la fourniture d’un service de communication en ligne demandé par l’utilisateur.
• Dans certains cas de missions de service public à des fins de prévention, comme l’a reconnu la CNIL.
• À titre exceptionnel, lorsque l’ARCEP « admet une certaine tolérance » en l’absence d’autres méthodes fiables, sécurisées et automatisables pour accéder aux données.

Scraping d’adresses pro : une tolérance sous conditions

S’agissant de la prospection B2B, les règles sont un peu plus souples. Maître Alan Walter les résume ainsi : « Un particulier doit accepter pour être démarché. Quant au professionnel, son silence, sa non-opposition, vaut acceptation. » Une simple option « opt-out » est donc considérée comme convenable car elle permet au prospect de refuser la sollicitation.

La CNIL ne conditionne pas la prospection au consentement du professionnel, elle impose seulement l’option de s’y opposer de manière simple et gratuite. En d’autres termes, la prospection commerciale via le scraping est autorisée si le professionnel ne s’y oppose pas, souligne Maître Alan Walter. 

Alan Walter introduit toutefois une nuance : « qu’il s’agisse de prospection de particuliers ou de professionnels, l’obligation d’information subsiste ». L’avocat indique par ailleurs que la prospection doit être en rapport avec l’activité professionnelle ciblée. Un détail qui a son importance, car il disqualifie un certain nombre de pratiques répandues.

L’intérêt légitime peut être invoqué uniquement en B2B, dans un contexte professionnel clair, ciblé, justifié, et avec une information préalable des personnes, ainsi qu’un droit d’opposition simple et effectif. Or, le scraping massif et automatisé, sans information ni contrôle, ne satisfait à aucune de ces conditions, considère ainsi Yann-Maël Larher.

Scraping illégal de données LinkedIn : quelles sont les peines encourues ?

Alan Walter rappelle que « la CNIL peut imposer des sanctions administratives en cas de non-respect de cette obligation ». Les sanctions encourues sont les suivantes :

• Une amende administrative pouvant aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial ;
• En cas de violations multiples du RGPD, jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial.

Toutefois, les sanctions visent surtout les entreprises qui recourent massivement à ces techniques. En effet, si Yann-Maël Larher nous apprend que « la CNIL a déjà sanctionné plusieurs entreprises ayant eu recours à des pratiques de collecte de données personnelles sur internet, même lorsque ces données étaient rendues accessibles par les utilisateurs eux-mêmes », l’avocat estime que « en pratique, les individus qui utilisent ces solutions ont peu de chance d’être inquiétés ».

Alan Walter, Avocat chez Walter Billet Avocats

Avocat au Barreau de Paris depuis 2006, Alan Walter a exercé son activité au sein de plusieurs cabinets spécialisés en nouvelles technologies, comme Alain Bensoussan Avocats et Kahn & Associés, avant de cofonder son propre cabinet en 2015. Il intervient également à Télécom Paris et l’université Paris-Nanterre.

Yann-Maël Larher, Avocat en droit du travail et du numérique

Yann-Maël Larher est avocat au Barreau de Paris, docteur en Droit, spécialisé en droit du travail, droit du numérique et cybersécurité. Il conseille entreprises et collectivités sur l’impact des technologies sur le travail. Il est également membre du Conseil d’Administration de l’Association Française des Docteurs en Droit (AFDD).