Même les moteurs de recherches doivent respecter la vie privée des internautes
Publié le 01/06/2008 par Etienne Wery
Devant l’omniprésence des moteurs de recherche, les autorités européennes chargées de protéger la vie privée rappellent les règles du jeu. Elles s’inquiètent des croisements de données collectées parfois à l’insu des internautes, de leur conservation et de leur réutilisation. Petit passage en revue …
Ce midi, en mangeant mon sandwiche au bureau, j’ai effectué une recherche concernant des vacances au soleil et cliqué sur plusieurs liens vers des forums de discussion de clients de l’hôtel de mes rêves. J’ai aussi cherché le garage le plus proche pour réparer ma voiture. Via le moteur de recherche, j’ai trouvé une épicerie en ligne capable de me livrer ce soir un menu gastronomique à réchauffer pour deux personnes, et enfin j’ai lancé une requête pour avoir plus d’infos sur la jeune femme qui devrait, si tout se passe bien, partager ce délicieux repas avec moi. A l’occasion, j’ai cliqué sur deux liens sponsorisés et relevé mes mails privés grâce à la fonction MyMail dudit moteur de recherche.
Ce genre d’activité vous rappelle votre propre vie (mis à part le sujet des recherches … purement illustratif) ? Vous faites alors partie des centaines de millions d’utilisateurs quotidiens des moteurs de recherche.
Et autant le dire tout de suite : vous venez de contribuer à la richesse des moteurs de recherche, qui vont ajouter ces infos à votre profil constitué patiemment depuis des mois grâce à un habile cookie. Tout cela sera croisé avec les informations que le moteur aura reçues de sa filiale de régie publicitaire, de son site de sociabilisation et des partenaires avec qui il a signé un accord d’échange. Cette information déterminera votre « profil socio-économique », et permettra d’affiner l’affichage des résultats qui vous concernent et de proposer des publicités susceptibles de vous intéresser.
Utile ? Oui, si l’on prend en compte la masse d’information disponible sur l’internet et le tri salutaire que les moteurs effectuent préalablement. Aujourd’hui, l’économie du web repose pour une bonne part sur les moteurs de recherche, au point que de nouveaux métiers apparaissent (tel les ‘référenceurs’, ou SEO dans le jargon pour search engine optimization).
Illégal ? Pas le moins du monde. Sans que cela ne vous choque, votre grand magasin préféré fait de même avec sa carte de fidélité, qui vous rapporte quelques points de temps en temps mais contient votre profil de consommation.
Sans être illégale, cette activité est toutefois encadrée par la loi, et plus spécifiquement par les dispositions protectrices des données personnelles. C’est pour cela que le Groupe 29 a publié le 4 avril 2008 un avis relatif à la vie privée sur les moteurs de recherche.
Le Groupe 29 ?
Le Groupe 29 est un groupe de travail européen sur la protection des données. Les « Commissions vie privée » des 27 états membres de l’Union européenne y sont représentées. Le Groupe 29 rend régulièrement des avis sur des thèmes divers intéressant la protection de la vie privée et des données à caractère personnel dans le but de promouvoir une application harmonisée de la règlementation en cette matière dans les 27 états membres de l’Union européenne. Les orientations données par ce groupe de travail européen ne lient ni la Commission européenne ni les Commissions nationales, mais ils ont une autorité morale indiscutable.
Appliquer la loi nationale à un moteur américain ?
Les lois des Etats membres sont-elles applicables à des moteurs qui sont pour la plupart américains ? La plupart du temps la réponse est positive. Car outre l’hypothèse (plus fréquente qu’on ne le croit) d’un établissement fixe du moteur de recherche situé dans l’UE, le droit européen s’applique aussi au responsable du traitement qui n’est pas établi sur le territoire de la Communauté mais qui recourt, « à des fins de traitement de données à caractère personnel, à des moyens, automatisés ou non, situés sur le territoire dudit État membre, sauf si ces moyens ne sont utilisés qu’à des fins de transit sur le territoire de la Communauté ».
L’avis du Groupe 29
Le Groupe 29 commence par rappeler une évidence qui découle de la loi : les moteurs ne doivent traiter d’informations personnelles que pour des finalités légitimes ; les données traitées doivent être adéquates et non-excessives par rapport à ces finalités.
Mais au fait, de quelles données parle-t-on ? Pour le Groupe, si l’on peut admettre que les moteurs collectent des informations personnelles au sujet des utilisateurs et de leurs services (p.e. l’adresse IP), il n’est pas nécessaire, pour assurer le service qu’est le moteur de recherche stricto sensu, de collecter des informations supplémentaires dont le but est d’afficher en retour des publicités. En d’autres termes, il faudra trouver pour ces traitements là un autre fondement juridique pour respecter l’exigence de légitimité du traitement (p. e. obtenir le consentement de l’utilisateur). Pour le Groupe 29 (dont l’avis sur ce point nous semble moins bien argumenté), il en va de même de l’historique de recherche individuelle, pour lequel les experts estiment nécessaire d’obtenir le consentement de l’utilisateur.
Les données doivent être supprimées (ou rendues anonymes) une fois qu’elles ne sont plus nécessaires par rapport aux finalités pour lesquelles elles ont été collectées. L’industrie est appelée à mettre en place des bonnes pratiques à ce sujet.
La durée de conservation est un point crucial, et révèle des pratiques disparates : entre zéro jour pour certains moteurs et dix-huit mois pour d’autres. Le Groupe 29 insiste pour que ce soit le moins longtemps possible et surtout en adéquation avec la finalité initiale. Par la magie du consensus, le Groupe 29 estime que six mois est une durée raisonnable, sachant que si la loi locale est plus sévère, elle doit être respectée. Au-delà de six mois, c’est au moteur à démontrer clairement la nécessité de la conservation par rapport au service qu’il propose. Quoiqu’il en soit, les experts exigent que l’utilisateur soit dûment informé de cette durée.
Il en va de même des cookies qui sont admis s’ils sont nécessaires, étant entendu que leur durée d’existence ne doit pas dépasser le strict nécessaire.
A côté des cookies traditionnels, le Groupe s’inquiète des flash cookies. Les spécialistes du marketing les adorent d’autant plus que les internautes comment à bien gérer les cookies traditionnels (près de 40% des personnes les effacent à intervalles réguliers). Cette nouvelle méthode plus discrète et facile à installer sur l’ordinateur de l’utilisateur (il suffit d’ajouter un Javascript à la page web consultée) stocke en outre plus d’information. Cerise sur le gâteau : les logiciels anti-spywares et anti-virus ne bloquent en général pas ce type de fichiers contrairement aux anciens cookies. Le Groupe 29 ne les tolère que si une information transparente est fournie à l’utilisateur quant à l’objectif poursuivi et à la manière de les gérer.
L’information de l’utilisateur est du reste au centre des préoccupations du Groupe. Il est vrai que les pratiques actuelles sont parfois lacunaires … Les moteurs sont invités à faire de gros efforts pour mieux informer le visiteur sur les finalités poursuivies, les données rassemblées, stockées ou transmises, les cessionnaires éventuels, etc. Cette information doit être claire, transparente et facilement accessible. Un point de contact aisé à contacter pour tous les soucis relatifs à la vie privée, est suggéré avec insistance.
Enfin, les fournisseurs de moteurs de recherche spécialisés dans la création d’opérations à valeur ajoutée, tels les profils de personnes physiques (People Search Engines) ou ceux qui fournissent des programmes d’identification sur la base de photos, doivent veiller à ce que leurs traitement soit légitime, ce qui impliquera la plupart du temps le consentement de la personne concernée.
L’avis complet du Groupe 29 est disponible en annexe.