Article mis en ligne le 13 mai 2008
***
Le groupe de l’article 29 (G29) qui regroupe les 27 autorités européennes de protection des données a rendu public le 4 avril 2008 un avis, adopté à l’unanimité, relatif aux moteurs de recherche. L’enjeu est de conduire les géants mondiaux du secteur (Google, Yahoo, Microsoft, AOL, …) à adopter les principes européens de protection des données à caractère personnel.
Trois principales conclusions ressortent de cet avis. En premier lieu, le G29 considère que la Directive européenne d’octobre 1995 sur la protection des données personnelles s’applique aux moteurs de recherche même si leur siège social est aux Etats-Unis. En revanche, ils ne sont pas concernés pas la Directive de 2006 relative à la conservation des données. La position la plus spectaculaire concerne sans doute celle relative à la durée de conservation des données à caractère personnel (adresse IP, cookies). Pour les « Cnils » européennes, ces données doivent être effacées ou anonymisées dans un délai de 6 mois alors que la pratique actuelle implique une conservation comprise entre 13 et 18 mois. Les internautes européens doivent en outre être clairement informés de leurs droits. Ils doivent notamment donner un accord explicite lorsqu’il s’agit d’interconnecter des données les concernant entre différents services proposés par les filiales d’un même groupe.
Au-delà de ces conclusions, d’intéressantes précisions figurent dans l’avis Le périmètre des données à caractère personnel est précisé. Il recouvre l’adresse IP et donc d’une façon général les fichiers de logs qui conservent cette donnée. Les cookies uniques diffusés par les moteurs de recherche sont également des données à caractère personnel. Enfin, un historique de recherche constitue une donnée à caractère personnel s’il est possible de le rattacher à une personne.
Des finalités aussi nombreuses qu’imprécises
Les finalités de la collecte et de la conservation des données sont nombreuses et considérées par le G29 comme parfois imprécises. L’avis expose les différentes finalités mentionnées par les moteurs de recherche préalablement consultés. Elles sont au nombre de sept : amélioration du service, sécurisation, détection de la fraude au click, facturation, publicité personnalisée, statistiques, conformité aux obligations légales. Les moteurs de recherche, estime le G29, ne peuvent procéder à la collecte de données à caractère personnel avec comme finalité le développement de services qui n’ont pas encore été développés. Les autorités européennes de protection des données considèrent que des finalités sont définies de façon trop large (« amélioration du service ») et qu’il n’est pas possible de faire apparaître clairement à quelles finalités correspondent les données conservées. A propos de la finalité « publicité personnalisée » qui est au cœur du modèle économique des moteurs de recherche, les « Cnils » européennes estiment que la collecte de donnés à caractère personnel peut difficilement être considérée comme légitime en l’absence d’accord explicite de la personne. Le G29 réitère à cette occasion sa préférence pour les données anonymisées.
En matière d’information préalable des utilisateurs et d’exercice du droit d’accès, le G29 considère que de nombreuses privacy policies sont déficientes. Les utilisateurs devraient avoir un droit d’accès y compris pour leurs recherches passées. Cette position, peu détaillée dans l’avis et peu commentée par les observateurs, paraît logique du point de vue des principes de la règlementation informatique et libertés. Google propose déjà une telle fonctionnalité aux utilisateurs enregistrés mais cette innovation a été présentée comme une amélioration du service plutôt que comme un moyen d’exercer son droit d’accès en ligne.
Il est clairement indiqué que les moteurs de recherche ne sont pas responsables des contenus diffusés sauf dans le cas de la fonction de « cache ». Du point du vue de la concurrence sur le secteur des moteurs de recherche, le G29 indique brièvement que la réduction de la durée de conservation contribuera à l’amélioration de la confiance des utilisateurs et que cette mesure sera donc de nature à constituer un avantage compétitif. Il s’agit ici de convaincre les géants de l’internet que la privacy n’est pas (seulement) une contrainte mais aussi un moyen de se différencier et ainsi de développer l’activité.
Un avis qui devrait favoriser les dispositifs d’anonymisation
Sans que cela soit écrit explicitement, les dispositifs d’anonymisation apparaissent comme une voie prioritaire pour les moteurs de recherche. Le G29 souligne que l’anonymisation est une alternative à la suppression des données à condition qu’elle soit irréversible et qu’elle ne permette pas une identification indirecte. Une anonymisation reconnue comme suffisante par les autorités de protection des données permettrait de faire « sortir du périmètre » informatique et libertés les données collectées et de rendre ainsi possible une conservation sans limitation du durée. Au regard des finalités communiquées par les moteurs de recherche, il semble que dans bien des cas il serait possible de mettre en œuvre une personnalisation sans identification. Il est vraisemblable que, pour les moteurs de recherche, l’anonymisation permettant le suivi, dans la durée, de profils non nominatifde nouvelles discussions vont s’engager avec les moteurs de recherche afin de déterminer comment mettre en œuvre l’ensemble de ces mesuress sera une voie plus intéressante que la suppression à court terme des données pour obtenir une conformité avec l’avis.
Sur son site la Cnil indique que « de nouvelles discussions vont s’engager avec les moteurs de recherche afin de déterminer comment mettre en œuvre l’ensemble de ces mesures ». Ce ne sera pas forcément facile si l’on en juge par les réactions immédiates pour le moins mitigées de Peter Fleischer, le monsieur privacy de Google.
Arnaud Belleil
En savoir plus :
• La réaction de Peter Fleischer, Global Privacy Councel de Google (en anglais) : http://googlepublicpolicy.blogspot.com/2008/04/european-commissions-data-protection.html
A lire aussi