Il existe une histoire de David et Goliath qui se déroule dans la Silicon Valley. Goliath s’appelle LinkedIn, le réseau social professionnel où environ 500 millions de personnes publient leur bios et CVs. Et David c’est hiQ Labs, une start-up de San Francisco avec 24 employés.
hiQ dispose de deux produits, tous deux dépendants de l’accès aux profils publics des 500 millions de membres de LinkedIn. Le premier produit se nomme Keeper, il identifie les employés susceptibles d’être prêts à aller voir ailleurs, et l’autre s’appelle Skills Mapper, il résume les compétences d’un employé.
Ils obtiennent ces informations en puisant dans la partie du profil LinkedIn accessible publiquement, les informations que quiconque avec un navigateur et un moteur de recherche pourraient obtenir sans être connecté à LinkedIn. Leurs clients, d’après hiQ, sont principalement des grandes entreprises (ils mentionnent eBay, Capital One et Go Daddy en tant que clients existants et ils courtisent actuellement Chevron, Honeywell et IBM). Ces marques américaines qui ne vous parlent pas forcément en France mais je vous assure qu’elles sont de taille très importante et très réputées outre-atlantique.
Le profil public de chaque utilisateur de LinkedIn est différent, en fonction des informations que cette personne souhaite rendre publiques. Le profil se compose d’un certain nombre de domaines, incluant un résumé, des expériences professionnelles passées, des publications, des groupes et des recommandations.
Si vous souhaitez limiter la visibilité de tout ou d’une partie de votre profil, LinkedIn vous montre comment faire sur sa page d’aide. LinkedIn vous rappelle que “le profil public apparaît lorsque quelqu’un vous lance une recherche vous concernant sur Bing, Google, Duck Duck Go, etc...”.
Ces recherches et la consultation de votre profil public ne sont pas réservées seulement aux individus : les entreprises et les agences de renseignement peuvent également vous rechercher, comme l’a rappelé le MI5 au Royaume-Uni lorsqu’il a envoyé une note d’avertissement aux bureaux du gouvernement. Oui, les profils publics de LinkedIn sont scrutés régulièrement.
Est-ce que LinkedIn a simplement trébuché sur hiQ et son business model ? Apparemment non : il semble que LinkedIn en plus d’avoir connaissance des activités de hiQ, ait engagé une démarche proactive avec eux, comme en témoigne la participation de LinkedIn à la conférence Elevate de hiQ, qui comprenait le directeur des opérations et des analyses commerciales de LinkedIn, Lorenzo Canlas, et qui a reçu l’award Elevate Impact 2015 de hiQ.
Alors, quel est le problème ?
LinkedIn s’est apparemment indigné de l’utilisation par hiQ de la plateforme professionnelle, et a donc décidé de mettre un terme à cela. Il a envoyé une ordonnance de cesser et de s’abstenir à la fin du mois de mai, en prétendant que hiQ violait le Computer Fraud and Abuse Act, le Digital Millennium Copyright Act et le Code pénal californien § 502 (c). Dans la lettre adressée à hiQ, LinkedIn a également noté qu’il avait utilisé une technologie appropriée pour empêcher à hiQ d’accéder aux données.
Une fois le blocage de l’accès aux données publiquement disponibles mis en place par LinkedIn, le navire de hiQ était purement et simplement abandonné en pleine mer !
À la suite d’un échange de courriers, d’emails et d’appels téléphoniques, hiQ a déposé un secours au début du mois de juin, demandant une injonction temporaire et recommandant que les parties prennent 30 jours pour discuter et trouver une solution amiable. LinkedIn n’a alors pas réagi.
Selon les dépôts effectués par hiQ auprès du tribunal et les lettres adressées à LinkedIn, hiQ pense que LinkedIn développe ses propres outils dans ce domaine et souhaite tout simplement évincer hiQ de cet espace que LinkedIn considère lui appartenir.
Le juge de district des États-Unis, Edward Chen, a partagé son point de vue pessimiste sur la restriction de l’accès aux informations publiquement disponibles fin juin, en déclarant :
Si des restrictions sont mises en place au sein de ce processus, cela aura de sérieuses implications pour les recherches futures, le libre accès et la capacité à s’exprimer.
Il a ensuite exhorté les deux parties à trouver un terrain d’entente, sans quoi il se prononcerait sur la demande de hiQ concernant une ordonnance provisoire de restriction. Les deux parties ont écouté, et ont accepté une période de statu quo. Leur dépôt commun stipule :
Pendant cette période de statu quo, LinkedIn autorise hiQ à accéder et à utiliser les profils publics des membres d’une manière compatible avec le modèle commercial actuel de hiQ en termes de quantité et de type de données concernées. LinkedIn ne considèrera pas l’accès et l’utilisation du site web de ce dernier par hiQ, au cours de cette période de statu quo, comme non autorisés. Au cours de cette même période, hiQ pourra accéder au site de LinkedIn en utilisant les mêmes moyens technologiques qu’il a utilisés jusque maintenant et avant l’envoi par LinkedIn de la lettre de cesser et de s’abstenir, et LinkedIn s’engage à débloquer les adresses IP actuels. Si, pour une raison quelconque, hiQ est incapable d’accéder au site de LinkedIn à tout moment pendant cette période, hiQ peut demander à LinkedIn de rectifier la situation et LinkedIn devra œuvrer rapidement pour restauration l’accès.
Le prochain épisode de cette histoire de David et Goliath aura lieu le 20 juillet prochain, lorsque les deux parties déposeront en même temps leurs requêtes, qui sera ensuite suivi de réponses données de manière simultanée le 27 juillet, et suivra enfin la décision du juge Chen concernant la demande d’injonction préliminaire de hiQ. Nous surveillerons cette affaire, car les implications que cette décision pourrait avoir sur l’accès aux informations publiques sont très concrètes.
Billet inspiré de When is public information not public? When LinkedIn says so, sur Sophos nakedsecurity.