Comment (il) est-il légal d'obtenir des données à partir d'une API 100% accessible mais non «exposée»

J'ai trouvé un site Web qui fournit un énorme tableau filtrable avec des données à jour sur les villes d'un pays. Ce site utilise une approche de défilement infini pour charger les lignes de la table.

En explorant le site à l'aide des outils de développement de Chrome, j'ai constaté qu'il adressait des requêtes AJAX à certaines URL internes pour obtenir les données. Cette URL comprend de nombreux paramètres de requête correspondant aux filtres.

J'ai essayé d'accéder à cette URL directement dans mon navigateur et je reçois toutes les données dans un joli format JSON. Je peux même jouer avec les filtres pour obtenir les données concrètes dont j'ai besoin. Cette URL est réellement accessible, donc je ne pas besoin de faire quoi que ce soit aki , je suis simplement appeler une URL qui est là dans le filet.

Ma question est donc la suivante: dans quelle mesure est-il légal ou illégal d'utiliser cette URL pour récupérer les données à mes propres fins?

Remarque : je ne souhaite pas créer le même type de liste de villes, mais utiliser ces données pour créer un petit jeu en ligne, potentiellement pour gagner un peu d'argent ...

IMPORTANT Notes sur certaines réponses et commentaires

Ceci est juste un exemple de scénario, je ne cherche pas un endroit pour récupérer des données sur les villes. Si vous le souhaitez, envisagez un site Web contenant des données sur les performances des joueurs de football mises à jour au cours d'une saison.

En ce qui concerne le pays concret, encore une fois, je ne pense pas à une législation particulière, si vous connaissez un pays où il est clairement (il) légal, ce sera une information utile.

Laisse moi être clair. Il y a une chose que je connais assez bien, c'est la loi sur le droit d'auteur. Je ne suis pas avocat, cependant, la connaissance du droit d'auteur a été une exigence constante de mes consultants pendant 30 ans. En prime, j'ai principalement consulté des sociétés de télécommunication et ai souvent travaillé avec des données sur les abonnés, ainsi que sur l'analyse et la présentation de ces données, en vue de leur vente et de leur réutilisation. Je suis au moins, particulièrement qualifié pour répondre à cette question sur ce forum.

Je vais expliquer cela du mieux que je peux en: premièrement, en définissant des vers propriétaires comme des moyens ordinaires; deuxièmement, définir l’exception de cas citée et d’autres considérations liées au droit d’auteur; et troisièmement, être clair sur la réponse.

Permettez-moi de clarifier certains droits d'auteur. L'exemple d'un annuaire téléphonique est impropre. Lorsque vous recevez un téléphone, vous avez conclu un contrat privé en tant que citoyen privé avec une société privée. Les informations qui en résultent, rendues publiques ou non, sont des données confidentielles privées et le contenu de l’annuaire est donc exclusif (tenez compte des ce mot) simplement parce qu'il ne peut généralement pas être obtenu autrement que par l'intermédiaire de sources de données d'entreprise - les données d'abonné. Si les données peuvent être dérivées par des moyens ordinaires, telles que le repérage et l'écriture de numéros de rue et de noms de rues, il s'agit de données accessibles au public et claires à utiliser. Cela ne veut pas dire que les numéros de téléphone ne peuvent pas être obtenus par des moyens ordinaires. Ça peut être.

Pour clarifier davantage. Pour citer: http://www.lib.umich.edu/copyright/facts-and-data

En aucun cas, la protection du droit d'auteur d'une œuvre originale ne s'étend à une idée, une procédure, un processus, un système, une méthode de fonctionnement, un concept, un principe ou une découverte, quelle que soit la forme sous laquelle elle est décrite, expliquée, illustrée ou incarnée dans un tel travail.

Ce paragraphe est trompeur. Cette exception décrite dans ce paragraphe est couverte par les lois sur les brevets et d’autres lois. Le droit d'auteur ne concerne que la création d'une œuvre.

Le:

Doctrine de la «sueur du front»

... fait référence à toute activité comme aller de maison en maison et collecter les données manuellement. C'est la définition des moyens ordinaires. Il est possible de frapper aux portes et de demander les mêmes données téléphoniques. Ce n'est que dans la mesure où vous pouvez rassembler les faits par des moyens ordinaires que ces données ou une partie des données exclusives sont publiques.

L’utilisation habituelle des données téléphoniques consiste à: premièrement, obtenir les données originales par des moyens légaux; et deuxièmement, appliquez la doctrine de l'usage loyal. Cela impliquerait d'obtenir une copie de l'annuaire téléphonique directement auprès de la société, qui peut être gratuite ou payante, et d'organiser les faits de manière différente pour créer une nouvelle œuvre. Avez-vous essayé d'obtenir un annuaire de Seattle lorsque vous êtes à Chicago? Vous constaterez que la compagnie de téléphone vous facturera probablement des frais surprenants. Toutefois, si vous êtes un abonné du téléphone à Seattle et que vous demandez un annuaire téléphonique de Seattle, les frais seraient beaucoup moins élevés, voire gratuits. J'ai dû faire cela plusieurs fois. Il y a des gens qui travaillent, c'est juste pour obtenir des annuaires téléphoniques des télécos en personne et payer les frais si nécessaire.

La décision citée dans l'affaire Feist Publications c. Rural Telephonedans le lien ci-dessus (dans cette réponse) reposent sur deux faits: premièrement, les données recueillies par l'opérateur de coopérative rurale en tant que monopole local devaient être rendues publiques par un accord opérationnel; et deuxièmement, le fait que la présentation de l’œuvre était protégée par le droit d’auteur et non par les faits contenus en raison du fait n ° 1. Par conséquent, ce n'est que dans des paramètres étroits que ce cas peut être considéré comme un cas précédent et doit être écarté. Habituellement, les données d'abonné d'une entreprise privée ne sont pas obligées par un accord à être rendues publiques. N'oubliez pas que les coopératives rurales sont établies en tant que fiducies / entités publiques au service du bien public et appartiennent au public et / ou aux membres de la coopérative et fonctionnent donc dans le cadre de restrictions légales leur permettant d'être agréées. Chaque cas est différent.

À ses débuts, la compagnie de téléphone Bell était obligée, en tant que monopole, de rendre publiques les données téléphoniques, sauf restriction de l'abonné. Lorsque la société Bell a été scindée en deux entités: Bells, Bell Atlantic, Bell South, etc., ces sociétés étaient toujours obligées, en tant que monopoles, de rendre publiques les données téléphoniques telles que définies précédemment. Mais avec la déréglementation et, en fait, avec la VoIP, le cellulaire et d’autres options, les monopoles sont rares. L'argument susmentionné ne peut être invoqué que dans des scénarios de monopole.

Continuant à citer le lien ci-dessus (dans cette réponse):

Le fait que les données ne soient pas protégées par le droit d'auteur ne signifie pas qu'il n'y a pas d'autres considérations juridiques qui peuvent entrer en jeu lorsque vous souhaitez utiliser le jeu de données de quelqu'un d'autre.

Garde ça en tête.

N'importe quel jeu de données et sa présentation, quelle que soit leur origine, est un travail en soi. La présentation publique des faits, sans égard aux moyens, est un travail en soi.

Étant donné que vous n'obtenez pas les données par des moyens ordinaires, même si les données sont rendues publiques, et quelle que soit leur origine, elles ne sont pas libres de les utiliser comme vous l'avez décrit et vous pouvez être poursuivi pénalement et tenu civilement responsable. violation potentielle du droit d'auteur ainsi que pour violation de la loi et utilisation illicite d'ordinateurs et d'autres équipements de communication non autorisés habituellement et susceptibles de tomber sous le coup des lois de la RICO.

Est-ce légal d'utiliser? Non! Absolument pas! Il n'a pas été obtenu par des moyens ordinaires et il n'est probablement pas dans l'intention de l'opérateur de site Web d'exposer des données propriétaires. Toute absence de AUP (politique d'utilisation acceptable) ne vous aidera pas. La loi suppose que "l'homme raisonnable", le "critère raisonnable" et "l'hypothèse raisonnable" protègent le propriétaire du site Web dans cette affaire. Il n’est pas raisonnable qu’une personne intelligente utilise une "vulnérabilité dans la conception / la création" du site Web pour obtenir des données pour un autre usage. De même, si le site tire profit de ses activités, d'autres protections entrent en jeu.

Une chose qui ne semble pas très claire dans les autres réponses ici ...

Que cela soit "légal" ou non, cela dépend avant tout du pays. Si nous parlons des États-Unis, par exemple, alors utiliser les données elles-mêmes n'est pas illégal. Cependant, je vous conseillerais d'utiliser les données réelles du recensement des États-Unis. Ils offrent des tonnes de données à travers ce qu'ils appellent les produits TIGER. Cet ensemble de données est identique à celui utilisé par les professionnels des SIG pour renseigner les cartes Bing, Google Maps, etc.

Cependant, bien que les données puissent être librement disponibles, cela ne signifie pas nécessairement que les données de cette API exposée sont légalement disponibles. Vous dites que c'est sous la forme JSON, ce qui suggère qu'il a été "massé" de son format d'origine dans ce format - et que ce format personnalisé pourrait relever de la propriété intellectuelle. Cette, Je crois, serait illégal d’utiliser si vous n’avez pas le permis de l’utiliser. Comme d’autres ici, je ne suis pas avocat, mais l’entreprise n’a même pas besoin de vous pointer du doigt et de vous appeler un pirate informatique. Les données propriétaires sont des données propriétaires, même si elles sont distribuées de manière non intentionnelle. Vous devez contacter la société et lui faire savoir que toutes ces données sont exposées au monde extérieur et demander la permission de les utiliser. Sans cela, et en ayant cette question sur l'échange de piles comme preuve, il serait facile de faire valoir vos arguments. Vous avez essentiellement dit "Cela n’a pas l'air légitime, mais je l'aime quand même et je veux gagner de l'argent." Encore une fois, je ne suis pas avocat, mais cela ne semble pas être un bon moyen de commencer un procès.

Le problème, toutefois, est que si vous êtes intéressé par les noms de ville et d’autres données géographiques, ils sont presque tous disponibles gratuitement, quel que soit le pays. Aux dernières nouvelles, ce sont les États-Unis qui publient le plus de données, mais il existe des données pour pratiquement tous les pays. J'hésite à tout dire parce que je suis programmeur et qu'il est difficile de prouver qu'il s'agit d'une déclaration "pour tous" ... si vous choisissez un pays arbitraire, les chances sont meilleures que bonnes que les données soient disponibles. Si vous avez un pays en tête, dirigez-vous vers le GIS Stack Exchange . La principale chose que vous recherchez s'appelle "Shapefiles", alors posez une question du type "Où puis-je obtenir des Shapefiles pour __________?" Il y a aussi OpenStreetMapqui est une carte open source. Je ne sais pas à quel point il est facile d'obtenir leurs données de fichier de formes, mais si vous pouvez les obtenir (et je ne vois pas pourquoi vous ne pourriez pas le faire, vous pourrez exécuter des cartes hors connexion basées localement. informations stockées), alors vous avez toutes les données dont vous avez besoin et vous êtes en clair légalement. Vous devrez passer du temps à masser les quantités énormes de données jusqu'à obtenir ce que vous voulez, mais les fichiers de formes sont toujours très bien définis et faciles à analyser.

Bien que closetnoc ait abordé la question des données proprement dites, il existe un problème juridique plus important: vous n'êtes pas autorisé à accéder à l'API offrant les données.

La base de référence de la plupart des lois sur la criminalité informatique implique la notion "d'accès non autorisé à un système informatique". Il ne faut pas confondre cette référence à l'autorisation au sens juridique avec le concept d'autorisation en matière de contrôle d'accès. Le propriétaire d’un système n’a pas besoin de sécuriser son système pour que son accès soit illégal, tout comme vous êtes toujours en infraction lorsque vous entrez dans une maison dont la porte est déverrouillée.

Dans ce cas, le manque apparent de sécurité n'implique pas une autorisation d'utilisation. Le concept d’Internet a jusqu’à présent peu de précédent dans la jurisprudence, mais vous pouvez imaginer que l’utilisation du protocole HTTP 80 implique l’autorisation publique de consulter un site Web. À l'inverse, les protocoles RPC en arrière-plan (même s'ils peuvent s'exécuter sur des requêtes HTTP) ne sont généralement pas considérés comme accessibles au public, à moins que l'opérateur ne publie le service en tant que tel, accordant ainsi l'autorisation d'utilisation à des tiers.

Donc, l'utilisation en cours de l'API pour récupérer des données serait illégale. Le fait de prendre un cliché de données de l'API pour créer votre propre jeu de données serait également illégal. Si l'utilisation des données après cela est illégale est une zone grise géante, mais closetnoc a couvert la plupart des préoccupations.

Bien sûr, si vous modifiez le dump de données après coup pour le rendre méconnaissable, il sera pratiquement impossible de prouver que vous avez commis un crime. Mais si vous rencontrez autant de problèmes, pourquoi ne pas rechercher les données auprès d'une source légale?

Cela dépend probablement de la nature des données. Les données pures (pensez répertoire téléphonique) ne peuvent pas être protégées par le droit d'auteur . Ainsi, une liste de villes à partir d'une API devrait être un jeu juste à copier et à montrer aux utilisateurs. Toutefois, si cette API contient des descriptions de la ville, celles-ci tomberaient sous le droit d'auteur et vous ne pourrez pas les utiliser sans violer les droits d'auteur.

Si vous pouvez légalement copier les données, je vous recommande de les copier sur votre propre site afin d'éviter que votre utilisation de l'API ne soit arrêtée prématurément.

(IANAL, et les lois et normes varient beaucoup dans le monde, mais certaines choses ont tendance à rester cohérentes en raison des traités de propriété intellectuelle. Si vous rencontrez un problème professionnel en dehors de votre spécialité, consultez un professionnel.)

En règle générale, légalement, une API n'est pas considérée comme "destinée à une utilisation publique" sauf si elle est activement documentée en tant qu'API publique, avec des conditions de service spécifiées. Le fait que le public puisse accéder à l'API ne le rend pas public.

Dans les cas où le statut des données proprement dites ne fait pas vraiment partie du domaine public, et dans quelques cas où il s'agit clairement d' un domaine public, l'intention de l'entité fournissant l'API a beaucoup d'importance. Si l'opérateur du site Web voulait utiliser l'API pour alimenter une page Web dynamique ou une application mobile (pour nommer deux exemples courants), toute autre utilisation est "non autorisée" sauf autorisation expresse quelque part. Si le consommateur visé était un extrait de code dynamique dans une page Web spécifique, dans le but de placer des pixels compréhensibles pour l'homme sur un écran d'une manière spécifique, (heureusement), agréable et utile, toute autre utilisation est interdite.

La capacité technique de pénétrer dans un bâtiment par une fenêtre ouverte sans rien ouvrir ou casser ne vous empêchera pas d'être arrêté pour violation de la loi ...

En outre, il n’est presque jamais sage de jouer à des jeux de "capacités techniques" contre des "intentions originales" avec un avocat spécialisé en propriété intellectuelle. Si rien d'autre, rappelez-vous que les avocats qui perdent systématiquement ces cas ne continuent pas à être payés pour eux.

Ce dont vous parlez va probablement bien. Vous faites des liens hypertextes avec des informations, puis vous les transformez.

Dans Perfect 10, Inc. c. Amazon.com, Inc., [19], le neuvième circuit a de nouveau examiné si l'utilisation par un moteur de recherche d'images de la vignette était une utilisation équitable. Bien que les faits soient un peu plus proches que dans l'affaire Arriba Soft, le tribunal a néanmoins estimé que l'utilisation du contrefacteur par l'accusé était juste parce qu'elle était "extrêmement transformatrice". La cour a expliqué:

Nous concluons que la nature du moteur de recherche de Google, qui est très transformatrice, notamment au regard de ses avantages pour le public, l'emporte sur les utilisations commerciales superflues et commerciales des vignettes par Google dans cette affaire. [...] Nous sommes également conscients de l'orientation de la Cour suprême selon laquelle "plus le nouveau travail est transformateur, moins l'importance d'autres facteurs, tels que le commercialisme, peut peser contre une conclusion d'utilisation équitable".

En outre, la cour s’est spécifiquement intéressée au lien de droit d’auteur dans la première décision de l’appel américain:

Google n'affiche pas… une copie d'images photographiques illicites de taille normale aux fins de la Loi sur le droit d'auteur lorsque Google encadre des images liées en ligne qui apparaissent sur l'écran de l'ordinateur d'un utilisateur. Les ordinateurs de Google ne stockant pas les images photographiques, Google ne dispose pas d'une copie des images au sens de la Loi sur le droit d'auteur. En d'autres termes, Google ne dispose d'aucun "objet matériel… dans lequel une œuvre est fixée… et à partir duquel l'œuvre peut être perçue, reproduite ou autrement communiquée" et ne peut donc en communiquer une copie.Au lieu de communiquer une copie de l'image, Google fournit des instructions HTML qui dirigent le navigateur de l'utilisateur vers l'ordinateur d'un éditeur de site Web qui stocke l'image photographique en taille réelle. Fournir ces instructions HTML n'équivaut pas à montrer une copie. Premièrement, les instructions HTML sont des lignes de texte et non une image photographique. Deuxièmement, les instructions HTML ne font pas en sorte que des images illicites apparaissent sur l'écran de l'ordinateur de l'utilisateur. Le HTML donne simplement l'adresse de l'image au navigateur de l'utilisateur. Le navigateur interagit ensuite avec l'ordinateur qui stocke l'image incriminée. C’est cette interaction qui fait apparaître une image illicite sur l’écran de l’utilisateur. Google peut faciliter l'accès de l'utilisateur à des images illicites. cependant, cette assistance ne soulevait que des problèmes de responsabilité contributive et ne constituait pas une violation directe des droits d'affichage du titulaire du droit d'auteur. … Bien que la liaison et l'encadrement en ligne puissent amener certains utilisateurs à croire qu'ils consultent une seule page Web Google, la Loi sur le droit d'auteur, contrairement à la Loi sur les marques, ne protège pas le détenteur du droit d'auteur contre les actes susceptibles de semer la confusion chez le consommateur.

État de la loi américaine après Arriba Soft and Perfect 10

L'affaire Arriba Soft représentait la thèse selon laquelle la création de liens profonds et la reproduction réelle sur des copies de taille réduite (ou la préparation d'œuvres dérivées de taille réduite) étaient excusables en tant qu'utilisation loyale du fait que l'utilisation par l'œuvre de la défenderesse ne détournait pas réellement ou potentiellement le commerce des œuvres. le marché du premier travail; De plus, il offrait au public une fonction très utile, telle que la loi sur le droit d’auteur n’a pas été mise en avant (recherche des informations souhaitées sur le Web). L'affaire Perfect 10 impliquait des considérations similaires, mais impliquait davantage un équilibre des intérêts. La conduite a été excusée parce que la valeur pour le public de la fonction utile, indisponible par ailleurs, l'emportait sur l'impact sur Perfect 10 de l'utilisation éventuellement supérieure de Google.

En outre, dans Perfect 10, la Cour a posé un précédent de grande envergure en faveur de la liaison et l' encadrement, que la cour a donné un passage complet sous copyright. Il a conclu que "les liens et le cadrage en ligne peuvent amener certains utilisateurs d'ordinateur à croire qu'ils consultent une seule page Web Google [, mais] la Loi sur le droit d'auteur... Ne protège pas le détenteur du droit d'auteur contre les actes susceptibles de semer la confusion chez le consommateur"

L'accent est à moi. lié

Vous utilisez simplement un hyperlien, vous ne faites pas de copie, vous n'en affichez pas, vous ne faites pas de mal aux intérêts commerciaux et vous le transformez beaucoup. Je dirais que vous avez tous les éléments nécessaires pour aller bien. Mais IANAL.

Il est légal tant que vous n’avez pas besoin de saisir un mot de passe pour l’obtenir, mais certaines entreprises moins sophistiquées peuvent réclamer le piratage et demander un avocat sur vous. Vous devez être prêt à vous défendre. Vous serez jugé non coupable, car ils publient leurs données au public, mais cela pourrait vous coûter cher de vous défendre. Les procureurs et les flics s'en remettent aux entreprises. Cela se produit souvent dans les avis de sécurité, où quelqu'un informera une entreprise d'une faille de sécurité, qui sera accusée de piratage. La société est également libre de modifier l'API sans préavis, éventuellement en cassant votre application.

http://www.extremetech.com/computing/146323-canadian-college-expels-student-for-white-hat-security-probing

Arrêtez-moi si vous avez déjà entendu cela: un passionné de technologie devient un peu trop zélé en matière de recherche de failles de sécurité, découvre une vulnérabilité importante, présente les informations et en profère des menaces juridiques et personnelles.

http://www.bostonglobe.com/metro/2014/03/29/the-inside-story-mit-and-aaron-swartz/YvJZ5P6VHaPJusReuaN7SI/story.html

L'intrus se cachait quelque part sur le campus du MIT, téléchargeant des centaines de milliers d'articles de revues universitaires.