Retour au blog
RUENZHESARPTDEFRJAKOITTRIDVIFAHI

RGPD et web scraping via proxy : comment collecter des données sans risquer une amende de 20 millions d'euros

Nous examinons les exigences du RGPD pour le web scraping : quelles données peuvent être extraites, comment utiliser correctement des proxies et protéger l'entreprise contre des amendes allant jusqu'à 20 millions d'euros.

📅26 février 2026
```html

Si vous scrapez des marketplaces, surveillez les prix des concurrents ou collectez des données pour l'analyse, la question de la conformité au GDPR (Règlement Général sur la Protection des Données) affecte directement votre entreprise. Les amendes peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel de l'entreprise, et les régulateurs européens les appliquent activement. Dans ce guide, nous examinerons quelles données peuvent être collectées légalement, comment utiliser correctement des proxies pour la conformité et quelles mesures de protection mettre en place dans le processus de web scraping.

Il est important de comprendre : le GDPR ne régule pas le scraping en soi, mais le traitement des données personnelles des citoyens de l'UE. Même si votre entreprise est située en dehors de l'Europe, si vous collectez des données d'utilisateurs européens, le règlement s'applique à vous.

Qu'est-ce que le GDPR et comment s'applique-t-il au web scraping

Le GDPR (Règlement Général sur la Protection des Données) est un règlement européen sur la protection des données personnelles, entré en vigueur en mai 2018. Il s'applique à toute entreprise ou individu qui traite des données personnelles de citoyens de l'Union Européenne, peu importe où se trouve l'entreprise elle-même.

Pour le web scraping, cela signifie que si vous scrapez des sites publics et collectez des informations sur des utilisateurs européens (noms, emails, téléphones, adresses, données comportementales), vous devenez automatiquement soumis à la réglementation du GDPR. Cela concerne toutes les tâches populaires :

  • Scraping de marketplaces (Wildberries, Ozon, Amazon EU) — si vous collectez des données sur les vendeurs ou les acheteurs
  • Surveillance des prix des concurrents — si les données contiennent des informations de contact des entreprises
  • Collecte de contacts pour B2B — emails, téléphones, postes des employés des entreprises
  • Analyse des réseaux sociaux — profils d'utilisateurs, commentaires, activité
  • Aggregation d'annonces (immobilier, offres d'emploi, services) avec des données de contact

Point clé : le GDPR ne prohibe pas le web scraping en tant que tel. Il établit des règles pour le traitement des données personnelles. Si vous ne collectez que des informations publiques non personnelles (prix des produits, caractéristiques, descriptions sans lien avec des personnes spécifiques) — le GDPR ne s'applique pas formellement. Mais dès que des noms, des contacts ou des identifiants d'utilisateurs apparaissent dans les données, les exigences du règlement entrent en vigueur.

Important : Les amendes pour violation du GDPR peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel de l'entreprise (la somme la plus élevée est appliquée). En 2023, les régulateurs européens ont infligé des amendes d'un montant total de plus de 2,5 milliards d'euros. Les plus importantes ont été infligées à Meta (1,2 milliard d'euros), Amazon (746 millions d'euros), TikTok (345 millions d'euros).

Quelles données sont considérées comme personnelles selon le GDPR

Le GDPR définit les données personnelles de manière très large : il s'agit de toute information se rapportant à une personne physique identifiée ou identifiable. En pratique, lors du web scraping, les données personnelles comprennent :

Catégorie de données Exemples lors du scraping Niveau de risque
Identifiants directs Nom, email, téléphone, adresse, photo de profil, nom d'utilisateur sur les réseaux sociaux Élevé
Identifiants indirects Adresse IP, ID de cookie, empreinte de l'appareil, géolocalisation, historique de navigation Moyen
Catégories spéciales Origine raciale, opinions politiques, religion, santé, biométrie Critique
Informations professionnelles Poste, entreprise, email/téléphone professionnel, profil LinkedIn Moyen
Données non personnelles Prix des produits, caractéristiques, descriptions, statistiques sans lien avec des personnes Faible

Une erreur fréquente : penser que les données publiquement accessibles peuvent être collectées et utilisées librement. Le GDPR ne fait pas d'exceptions pour les informations publiques. Si vous scrapez des profils LinkedIn, des contacts sur des sites d'entreprise ou des annonces avec des numéros de téléphone — ce sont des données personnelles, et les exigences du règlement s'appliquent pleinement.

Une attention particulière doit être portée aux adresses IP. La Cour européenne a statué en 2016 que les adresses IP dynamiques sont des données personnelles, car le fournisseur peut identifier l'utilisateur. Cela est important lors de l'utilisation de proxies : si vous enregistrez les adresses IP des utilisateurs finaux lors du scraping, cela constitue un traitement de données personnelles.

Le GDPR exige une base légale pour le traitement des données personnelles. Pour le web scraping, les bases suivantes sont applicables (article 6 du GDPR) :

1. Consentement de la personne concernée (Consent)

La base la plus évidente, mais la moins applicable au scraping. Le consentement doit être :

  • Volontaire et éclairé
  • Spécifique (pour un but déterminé)
  • Informé (l'utilisateur comprend ce que vous faites avec les données)
  • Révocable (peut être facilement retiré)

Lors du scraping, obtenir un tel consentement est pratiquement impossible — vous collectez des données automatiquement, sans interaction avec les utilisateurs. Par conséquent, cette base est rarement appliquée.

2. Intérêts légitimes (Legitimate Interests)

La base la plus couramment utilisée pour le web scraping. Vous pouvez traiter des données si cela est nécessaire pour vos intérêts légitimes, à condition que les intérêts de la personne concernée ne prévalent pas sur les vôtres. Exemples d'intérêts légitimes :

  • Surveillance des prix des concurrents — pour établir votre propre stratégie de prix
  • Analyse de marché — pour l'analyse commerciale et les études
  • Détection de fraude — collecte de données pour se protéger contre la fraude
  • Amélioration du service — agrégation de données publiques pour créer un produit utile

Il est important de réaliser un test d'équilibre des intérêts (Legitimate Interest Assessment, LIA) : documenter pourquoi votre intérêt prévaut sur les intérêts des utilisateurs. Par exemple, si vous scrapez les prix des produits sur un marketplace — c'est un intérêt justifié. Mais si vous collectez des emails pour du spam — c'est une violation.

3. Exécution d'un contrat ou tâche publique

Ces bases sont rarement appliquées lors du scraping. L'exécution d'un contrat est pertinente si vous collectez des données pour fournir un service en vertu d'un contrat avec l'utilisateur (par exemple, un agrégateur d'offres d'emploi collecte des données pour les montrer aux utilisateurs). Une tâche publique s'applique aux organismes gouvernementaux.

Conseil pratique :

Documentez la base légale pour chaque type de données collectées. Créez un document interne (Data Processing Record) où vous décrivez : quelles données vous collectez, pour quelles raisons, sur quelle base, comment vous les stockez et les protégez. C'est la première chose que les régulateurs demanderont lors d'un contrôle.

Rôle des proxies dans la conformité au GDPR : protection et anonymisation

Les serveurs proxy jouent un double rôle dans le contexte de la conformité au GDPR lors du web scraping. D'une part, ils aident à minimiser la collecte de données personnelles et à protéger la confidentialité. D'autre part, ils peuvent eux-mêmes créer des risques s'ils sont mal utilisés.

Comment les proxies aident à respecter le GDPR

1. Anonymisation des requêtes. Lorsque vous utilisez des proxies résidentiels pour le scraping, le site cible voit l'adresse IP du serveur proxy, et non votre véritable IP. Cela signifie que le site ne peut pas identifier directement votre entreprise comme source des requêtes. Pour le GDPR, cela est important si vous souhaitez minimiser la divulgation de vos propres données.

2. Répartition géographique. Les proxies résidentiels et mobiles permettent de faire des requêtes avec des adresses IP de différents pays. Cela est utile pour collecter des données spécifiques à une région (par exemple, les prix dans différents pays de l'UE), sans nécessiter de présence physique. Ainsi, vous respectez le principe de minimisation — vous ne collectez que les données disponibles dans une région spécifique.

3. Rotation des IP pour minimiser les traces. La rotation automatique des adresses IP via des proxies aide à éviter la création d'un profil de votre activité de scraping sur le site cible. Cela réduit le risque que le site collecte et conserve vos métadonnées (temps des requêtes, modèles de comportement), qui peuvent elles-mêmes être des données personnelles.

Risques liés à l'utilisation de proxies dans le contexte du GDPR

1. Journalisation des données par le fournisseur de proxy. Si votre fournisseur de proxy enregistre vos requêtes et les adresses IP des utilisateurs cibles — il devient un processeur de données personnelles (Data Processor) selon le GDPR. Vous devez conclure avec lui un accord de traitement des données (Data Processing Agreement, DPA), qui stipule les obligations de protection des données. Choisissez des fournisseurs qui offrent une politique no-log ou qui sont prêts à signer un DPA.

2. Utilisation de proxies pour contourner la protection. Certains sites bloquent le scraping par des mesures techniques (limitation de taux, CAPTCHA, blocages IP). Utiliser des proxies pour contourner ces mesures peut violer non seulement le GDPR, mais d'autres lois (par exemple, le Computer Fraud and Abuse Act aux États-Unis ou la Directive sur le commerce électronique dans l'UE). Le GDPR n'est pas en cause ici, mais il existe des risques juridiques.

3. Proxies de fournisseurs peu fiables. Si vous utilisez des proxies publics bon marché ou des proxies avec une source d'adresses IP inconnue — il y a un risque que ces IP soient compromises ou utilisées pour des activités illégales. Cela peut conduire à ce que les données collectées soient considérées comme obtenues illégalement.

Type de proxy Avantages pour le GDPR Risques
Proxies résidentiels IP réelles d'utilisateurs domestiques, haute anonymité, faible risque de blocage Il est nécessaire de s'assurer que les propriétaires des IP ont donné leur consentement au fournisseur
Proxies mobiles IP des opérateurs mobiles, idéales pour les réseaux sociaux, rarement bloquées Coût élevé, moins de contrôle sur la géolocalisation
Proxies de centre de données Haute vitesse, faible coût, contrôle total du fournisseur Facilement détectables, souvent bloqués, inadaptés aux tâches sensibles

Principe de minimisation des données : ne collectez que ce qui est nécessaire

L'un des principes clés du GDPR est la minimisation des données (article 5). Vous devez collecter uniquement les données personnelles qui sont réellement nécessaires pour atteindre l'objectif déclaré. Cela influence directement la configuration du scraping.

Étapes pratiques pour minimiser

1. Filtrez les données au stade de la collecte. Ne sauvegardez pas toute la page dans son intégralité — extrayez uniquement les champs nécessaires. Par exemple, si vous scrapez un marketplace pour surveiller les prix, ne sauvegardez pas les noms des vendeurs, leurs évaluations ou leurs contacts. Collectez uniquement le nom du produit, le prix, la référence. 

# Mauvais — on sauvegarde tout
product_data = {
    'title': title,
    'price': price,
    'seller_name': seller_name,  # Données personnelles !
    'seller_email': seller_email,  # Données personnelles !
    'seller_rating': seller_rating,
    'reviews': reviews  # Peut contenir des noms d'acheteurs !
}

# Bon — seulement ce qui est nécessaire
product_data = {
    'title': title,
    'price': price,
    'sku': sku,
    'availability': availability
}

2. Anonymisez ou pseudonymisez les données. Si vous devez suivre la dynamique (par exemple, le changement de prix d'un vendeur spécifique), ne conservez pas le nom du vendeur — créez un hash de son ID. C'est de la pseudonymisation : les données ne peuvent pas être lues directement, mais peuvent être associées. 

import hashlib

# Pseudonymisation de l'ID du vendeur
seller_id_hash = hashlib.sha256(seller_id.encode()).hexdigest()

product_data = {
    'title': title,
    'price': price,
    'seller_hash': seller_id_hash  # Impossible de retrouver l'ID d'origine
}

3. Supprimez les données après utilisation. Le GDPR exige que les données ne soient pas conservées plus longtemps que nécessaire (limitation de stockage). Si vous collectez des prix pour un rapport quotidien — supprimez les données de plus de 30 à 60 jours. Configurez un nettoyage automatique de la base de données.

4. Ne collectez pas de catégories de données spéciales. Évitez de collecter des données sur la race, la santé, les opinions politiques, la religion (article 9 du GDPR). Pour celles-ci, un consentement explicite ou des raisons très solides sont nécessaires. Lors du scraping, cela est presque impossible à justifier.

Exemple pratique : Une entreprise a scrapé LinkedIn pour collecter des contacts de spécialistes RH. Ils ont collecté noms, emails, photos de profil, poste actuel, précédents lieux de travail. Selon le GDPR, cela est excessif — pour l'envoi d'emails, il suffit de l'email et du poste. Les photos, l'historique de travail et les noms sont des données personnelles superflues, augmentant les risques.

Stockage sécurisé des données collectées

Le GDPR exige d'assurer la sécurité des données personnelles (article 32). Si vous collectez des données via le scraping, vous devez les protéger contre les fuites, l'accès non autorisé et la perte. Voici un ensemble minimal de mesures :

Mesures techniques de protection

  • Chiffrement des données au repos (at rest). Conservez la base de données avec les données collectées sous forme chiffrée. Utilisez AES-256 ou des normes similaires. Les fournisseurs cloud (AWS, Google Cloud, Azure) proposent un chiffrement automatique des disques.
  • Chiffrement des données en transit (in transit). Toutes les requêtes vers les API, les bases de données et les proxies doivent passer par HTTPS/TLS. Ne transmettez jamais de données personnelles par des canaux non chiffrés.
  • Contrôle d'accès. Limitez l'accès à la base de données : seuls les employés autorisés doivent voir les données collectées. Utilisez un contrôle d'accès basé sur les rôles (RBAC) et enregistrez toutes les demandes d'accès aux données.
  • Sauvegardes régulières. Effectuez des sauvegardes, mais conservez-les aussi en sécurité que les données principales. Sauvegardes chiffrées, accès par authentification à deux facteurs.
  • Surveillance et audit. Configurez un système de surveillance pour détecter une activité suspecte (par exemple, extraction massive de données). Effectuez régulièrement un audit de sécurité.

Mesures organisationnelles

  • Politique de confidentialité. Créez un document interne décrivant comment vous collectez, stockez et utilisez les données. C'est la base pour la conformité.
  • Formation du personnel. Tous les employés ayant accès aux données doivent comprendre les exigences du GDPR et les conséquences des violations.
  • Désignation d'un DPO (Data Protection Officer). Si votre activité principale consiste en une surveillance régulière et systématique des personnes concernées à grande échelle, le GDPR exige la désignation d'un responsable de la protection des données.
  • Plan de réponse aux fuites. Préparez une procédure en cas de violation des données. Le GDPR exige d'informer le régulateur dans les 72 heures suivant la découverte de la fuite.

Liste de contrôle pour la sécurité du stockage des données :

  • ✅ Base de données chiffrée (AES-256 ou supérieur)
  • ✅ Accès par mot de passe + 2FA pour tous les utilisateurs
  • ✅ Journalisation de toutes les demandes d'accès aux données
  • ✅ Sauvegardes régulières (chiffrées, dans un stockage séparé)
  • ✅ Suppression automatique des données de plus de N jours
  • ✅ Pare-feu et protection contre les injections SQL
  • ✅ Mises à jour régulières des logiciels et correctifs de sécurité

Comment traiter les demandes de suppression de données

Le GDPR accorde aux personnes concernées (les personnes dont vous avez collecté les données) un certain nombre de droits. Pour le web scraping, les plus pertinents sont :

  • Droit d'accès (Right to Access). L'utilisateur peut demander une copie de toutes les données que vous détenez à son sujet. Vous devez les fournir dans un délai de 30 jours.
  • Droit à l'effacement (Right to Erasure / "Right to be Forgotten"). L'utilisateur peut demander la suppression de toutes ses données. Vous devez répondre à la demande, sauf s'il existe des bases légales pour le stockage.
  • Droit de rectification (Right to Rectification). Si les données sont inexactes, l'utilisateur peut demander leur correction.
  • Droit de restriction du traitement (Right to Restriction). Gel temporaire du traitement des données jusqu'à la résolution d'un litige.

Problème lors du scraping : vous ne savez souvent pas à qui appartiennent les données collectées. Les utilisateurs ne se sont pas inscrits chez vous, n'ont pas fourni d'email pour vous contacter. Comment peuvent-ils envoyer une demande ? Comment les identifiez-vous ?

Solutions pratiques

1. Créez un formulaire public pour les demandes. Placez sur votre site une page "Demandes de sujets de données GDPR" avec un formulaire où l'utilisateur peut indiquer son email et décrire quelles données il souhaite supprimer/recevoir. Indiquez que vous répondrez dans un délai de 30 jours.

2. Vérifiez les demandes. Assurez-vous que la demande provient du véritable propriétaire des données. Demandez une confirmation (par exemple, envoyez un code à l'email que l'utilisateur a indiqué comme étant le sien). Cela protégera contre les demandes frauduleuses.

3. Automatisez la suppression. Créez un script qui supprime toutes les données associées de la base en fonction de l'email ou d'un autre identifiant. Important : la suppression doit être complète — de la base principale, des sauvegardes, des journaux. 

# Exemple de script de suppression de données par email
def delete_user_data(email):
    # Suppression de la base principale
    db.execute("DELETE FROM scraped_contacts WHERE email = ?", (email,))
    
    # Suppression des journaux (si vous les conservez)
    db.execute("DELETE FROM activity_logs WHERE user_email = ?", (email,))
    
    # Marquage dans les sauvegardes (si impossible de supprimer immédiatement)
    db.execute("INSERT INTO deletion_queue (email, requested_at) VALUES (?, NOW())", (email,))
    
    # Journalisation de la demande de suppression (pour conformité)
    log_gdpr_request('deletion', email)
    
    return "Données supprimées avec succès"

4. Documentez toutes les demandes. Tenez un registre de toutes les demandes GDPR : qui a demandé, quand, ce qui a été fait. Cela sera nécessaire lors d'un contrôle par le régulateur.

5. Répondez dans les délais. Vous avez 30 jours pour répondre (vous pouvez prolonger jusqu'à 60 jours dans des cas complexes, mais vous devez en informer le demandeur). Ne pas respecter le délai est une violation du GDPR.

Important : Si vous ne pouvez pas identifier l'utilisateur dans votre base (par exemple, vous n'avez collecté que des données agrégées sans email), vous avez le droit de refuser la demande. Mais cela doit être justifié : "Nous ne stockons pas de données personnelles permettant de vous identifier". C'est un autre argument en faveur de la minimisation des données.

Liste de contrôle pratique pour la conformité au GDPR lors du scraping

Utilisez cette liste de contrôle avant de lancer tout projet de web scraping impliquant des données personnelles de citoyens de l'UE :

Étape 1 : Planification

  • ☐ Déterminez si les données collectées contiennent des informations personnelles (noms, emails, IP, téléphones, etc.)
  • ☐ Si oui — déterminez la base légale pour la collecte (le plus souvent : intérêts légitimes)
  • ☐ Réalisez un test d'équilibre des intérêts (LIA) et documentez le résultat
  • ☐ Déterminez le minimum de données nécessaires pour votre objectif
  • ☐ Établissez une durée de conservation des données (par exemple, 30 jours)

Étape 2 : Configuration de l'infrastructure

  • ☐ Choisissez un fournisseur de proxy avec une politique no-log ou prêt à signer un DPA
  • ☐ Configurez le chiffrement de la base de données (AES-256)
  • ☐ Configurez le contrôle d'accès (RBAC) aux données collectées
  • ☐ Activez la journalisation de toutes les demandes d'accès aux données
  • ☐ Configurez la suppression automatique des données dépassant la durée établie
  • ☐ Configurez des sauvegardes chiffrées

Étape 3 : Développement du scraper

  • ☐ Implémentez le filtrage des données au stade de la collecte (ne conservez pas de champs superflus)
  • ☐ Utilisez la pseudonymisation ou l'anonymisation lorsque cela est possible
  • ☐ Ne collectez pas de catégories de données spéciales (race, santé, religion, etc.)
  • ☐ Utilisez HTTPS pour toutes les requêtes
  • ☐ Configurez la rotation des IP via des proxies pour minimiser les traces

Étape 4 : Documentation

  • ☐ Créez un Data Processing Record : quelles données, pour quoi, sur quelle base, combien de temps vous les conservez
  • ☐ Préparez une politique de confidentialité pour votre site
  • ☐ Si vous utilisez des sous-traitants (fournisseur de proxy, stockage cloud) — signez un DPA
  • ☐ Créez un plan de réponse aux violations de données

Étape 5 : Traitement des demandes des personnes concernées

  • ☐ Créez un formulaire public pour les demandes GDPR sur votre site
  • ☐ Configurez un processus de vérification des demandes
  • ☐ Automatisez la suppression des données sur demande
  • ☐ Tenez un registre de toutes les demandes GDPR
  • ☐ Répondez aux demandes dans un délai de 30 jours

Étape 6 : Surveillance et audit

  • ☐ Vérifiez régulièrement quelles données sont effectivement collectées (de nouveaux champs peuvent apparaître)
  • ☐ Réalisez un audit de sécurité du stockage des données (une fois par trimestre/semestre)
  • ☐ Formez les employés aux exigences du GDPR
  • ☐ Restez informé des mises à jour législatives et de la jurisprudence

Recommandation sur le type de proxy :

Pour les tâches nécessitant un haut niveau de conformité et une minimisation des risques, nous recommandons d'utiliser des proxies résidentiels ou mobiles de fournisseurs fiables. Ils offrent une meilleure anonymité et réduisent la probabilité que vos requêtes soient associées à un scraping massif. Évitez les proxies publics bon marché — ils peuvent être compromis et créer des risques juridiques supplémentaires.

Conclusion

La conformité au GDPR lors du web scraping n'est pas un obstacle pour les entreprises, mais un ensemble de règles qui protègent à la fois vous et les utilisateurs. Principes clés : ne collectez que les données nécessaires, justifiez la base légale, protégez les informations collectées et soyez prêt à supprimer les données sur demande. Les amendes pour violations peuvent atteindre 20 millions d'euros, mais elles peuvent être entièrement évitées en suivant les pratiques décrites dans cet article.

L'utilisation des bons outils — proxies, chiffrement, automatisation de la suppression — réduit les risques et facilite la conformité aux exigences. Documentez chaque étape : quelles données vous collectez, pourquoi, comment vous les stockez. Cela protégera non seulement contre les amendes, mais augmentera également la confiance des clients et des partenaires.

Si vous prévoyez un web scraping à grande échelle impliquant le traitement des données personnelles des citoyens de l'UE, nous vous recommandons de consulter un avocat spécialisé dans le GDPR. Les investissements dans la conformité au début du projet coûtent beaucoup moins cher que les amendes et les pertes de réputation en cas de violation.

Pour un web scraping sûr et anonyme, nous recommandons d'utiliser des proxies résidentiels — ils offrent un haut niveau d'anonymat, minimisent le risque de blocages et aident à respecter les principes de minimisation des données. Choisissez des fournisseurs avec une politique de confidentialité transparente et prêts à signer un accord de traitement des données.

```