Une information citoyenne au service d'une identité européenne
Réactions, commentaires et débats avec des invités

Glossaire interactif des termes de l'Espace de liberté, de sécurité et de justice
Observatoire législatif de l’Espace européen de liberté, de sécurité et de justice
Veille juridique et documentaire axée sur la Charte des droits fondamentaux de l’Union européenne
Actualités des grands projets de l'Union européenne
Dossiers documentaires thématiques
Actualités sur le rôle de l'Union européenne dans le monde
Une information citoyenne au service d'une identité européenne

Affaire GOOGLE: les géants d'Internet s'échangent nos données personnelles sans entrave

pdf mise en ligne :29 05 2007 ( NEA say… n° 35 )

ASILE > Système d'information Schengen

L’Europe s’inquiète de la politique de conservation des données de Google. Le vice-président de la Commission européenne, Franco Frattini, soutient la démarche entreprise par les experts européens de la protection des données auprès de Google qui, dans un premier temps, semble se montrer conciliant.Dossier documentaire sur la protection des données

La Commission européenne a confirmé le 25 mai 2007 qu’une lettre avait été envoyée par le groupe de travail dit "Article 29" instauré par la directive de 1995, à propos de la durée de stockage des données personnelles des personnes effectuant des recherches via le moteur de recherche Google. Cette lettre comporte une annexe importante: "Resolution on Privacy Protection and Search Engines" adoptée lors de la 28ème Conférence internationale des commissaires nationaux pour la protection des données (2-3 novembre 2006). Un porte-parole de la Commission a indiqué que Franco Frattini soutenait la démarche et que les questions posées étaient légitimes et appropriées. La Commission s’est refusée à commenter le contenu, estimant qu’il s’agit d’une initiative du Groupe "Article 29", tout en précisant qu’une réponse de Google était attendue pour début juin, comme le porte-parole de Google, Peter Fleischer, l’a indiqué dans une interview au Financial Times.

Le Groupe "Article 29" réunit des experts indépendants dont les avis et prises de position font autorité, même s’ils sont donnés à titre purement consultatif. Dans sa lettre (dont le Financial Times résume bien la démarche), le groupe demandait de justifier le fait que l’historique des recherches effectuées par les internautes soit conservé jusqu’à 24 mois. Le Comité craint que Google n’ait pas rempli toutes les conditions nécessaires à la protection effective des données personnelles. De son côté, la firme américaine a déclaré être prête à dialoguer. Les données conservées comprennent les mots clés, l’adresse IP et les détails des cookies. Certains craignent que cette collecte serve de base à l’identification d’un individu, voire à la création d’un profil précis et ouvert à tous les usages. En mars dernier, Google a révisé sa politique de confidentialité : plutôt que de conserver indéfiniment les données, le moteur de recherche a décidé de rendre anonymes ses fichiers de log après une période de 18-24 mois, afin que les données ne puissent être associées à une personne précise et puissent être croisées à d’autres données d’une autre provenance. Google estimait ainsi établir un juste équilibre entre deux objectifs : continuer à améliorer les services et perfectionner le système d’une part, et apporter une plus grande transparence et des garanties sur ses pratiques de conservation. La période, bien que réduite, reste trop longue aux yeux du Groupe "Article 29". Cette décision, considérée comme une victoire par les défenseurs de la vie privée, n’est pas suffisante.

A peine donnée par le porte-parole de la Commission, l'information a été immédiatement relayée dans la presse anglo-américaine, comme le Financial Times ou l’International Herald Tribune, et moins de quatre heures après par l’édition spéciale du Washington Post Technology, alors que la presse francophone restait largement silencieuse, à l'exception du journal Le Monde qui a réagi plus tard. A cet égard, il convient de signaler que EPIC (Electronic Privacy Information Center) a, le premier, mis le feu aux poudres en portant plainte auprès du Département fédéral du commerce, en recevant de nombreux appuis. Par ailleurs, il emettait un certain nombre de suggestions et recommandait de s'en remettre aux Guidelines de l'OCDE. Les pratiques de Yahoo et Microsoft pourraient également faire l'objet d'une étude de la part des experts du Groupe "Article 29".

En conclusion : deux ans, c’est trop ! pense le Groupe "Article 29" et on peut se féliciter de cette mise en garde. Mais la directive communautaire sur la rétention des données exige que les opérateurs téléphoniques et les fournisseurs d’accès à Internet et autres services liés aux nouvelles technologies de l’information gardent toutes les données de connexion de leurs abonnés entre six mois et deux ans, pour que policiers et juges puissent les utiliser le cas échéant. Notons au passage qu’en France, le Conseil d’Etat vient de donner tort à la CNIL (par ailleurs membre du Groupe "Article 29") et de donner raison aux sociétés d’auteurs et de producteurs, qui vont donc pouvoir mettre en place un dispositif de détection automatisée des utilisateurs des réseaux peer-to-peer de télédéchargement de fichiers musicaux. La CNIL estimait qu’une collecte aussi massive (plusieurs millions de personnes) de données personnelles des adeptes du peer-to-peer était excessive et injustifiée. La CNIL a été désavouée (communiqué de presse). Comment aurait réagi l’opinion publique, si elle avait appris que toute la population était mise sur écoute téléphonique sous le prétexte de lutter efficacement contre la criminalité en tout genre et le terrorisme ? Evidemment, fera-t-on remarquer, le téléphone est d’usage ancien et de ce fait la mise sur écoute apparaîtrait vite comme scandaleuse; les nouvelles technologies de l’information semblent être exonérées de tout soupçon. Une course de vitesse s’engage entre la police, la justice, les professionnels du commerce en tout genre qui veulent conserver les données et les associations de consommateurs et les garants des libertés individuelles. Les projets de Google restent inquiétants et Eric Schmidt, le patron de Google le reconnaît : son entreprise "n’en sait pas assez sur vous". EPIC a eu raison de réagir rapidement par une plainte déposée auprès de la Federal Trade Commission à Washington, notamment sur l’achat pour 3 milliards de dollars par Google (après une bataille féroce avec Microsoft) de DoubleClick, leader de la publicité en ligne (communiqué de presse de DoubleClick). Google ne cache pas son ambition : pister les internautes pour vendre leurs adresses aux annonceurs. Rien ne semble l’arrêter : elle vient d’investir 4 millions de dollars dans une société de biotechnologies dont l’objectif est de permettre aux internautes d’acquérir plus d’information sur leur patrimoine génétique.

Dans le journal Le Monde du 31 mai 2007, l'avocat Alain Weber lance un cri d'alame dans un article intitulé: "Google + DoubleClick = libertés en danger". Il nous interroge: "quelle dette avons-nous pour qu'une société commerciale se croie autorisée à collecter, exploiter ces trésors d'intimité?", et il nous avertit que si nous ne réagissons pas, si nous restons inertes, "ce sont nos libertés de citoyens, nos secrets, notre anonymat, notre liberté de choix qui seront définitivement bafoués. On ne sera alors plus que des petites mouches  face à Google, gigantesque araignée désormais maîtresse de sa toile". Devant la commission LIBE du Parlement européen, le contrôleur européen à la protection des données, Peter Hustinx, en présentant, le 14 mai dernier, son rapport annuel, avait regretté l'insuffisante information et mobilisation de l'opinion publique qu'il a qualifiée de "naïve". L'affaire est suffisamment vive pour que le président de Google tente depuis Séoul de calmer les émotions dans une interview donnée au Washington Post.


Site Internet du Contrôleur européen de la protection des données

► Déclaration du vice-président Frattini, au nom de la Commission européenne, à l'occasion de la journée de la protection des données (28 janvier) instaurée à l'initiative du Conseil de l'Europe (FR) (EN).

Communications de la Commission
► "Promouvoir la protection des données par les technologies renforçant la protection de la vie privée", 2 mai 2007, COM (2007) 228 (FR) (EN). Communiqué de presse (FR) (EN).
► "Suivi du Programme de travail pour une meilleure mise en application de la directive sur la protection des données", 7 mars 2007, COM (2007) 87.

Groupe "Article 29"
► Communiqué de presse de la 59ème réunion, 14 et 15 février 2007 (EN)
► Communiqué de presse de la 60ème réunion,17 et 18 avril 2007 (EN)
► Ordre du jour de la 61ème réunion, 19 et 20 juin 2007 (EN)
► Résolution sur la première Journée européenne de la protection des données (EN)

Législation européenne
Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
Règlement (CE) n° 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données.
Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques).
Directive 2006/24/CE du Parlement européen et du Conseil du 15 mars 2006 sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE.
Proposition de Directive du Parlement européen et du Conseil sur la conservation de données traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public, et modifiant la directive 2002/58/CE.
Proposition de décision-cadre du Conseil relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale.
► Article 6 du traité sur l'Union européenne et article 8 de la Convention européenne des droits de l'homme (EN).
► Article 8 de la Charte des droits fondamentaux de l'Union européenne (FR) (EN).

Jurisprudence
► Arrêt Rechnungshof c/Österreichischer Rundfunk et a., du 20 mai 2003, aff. jointes C-465/00, C-138/01 et C-139/01. Effet direct de la directive 95/46/CE.
Compatibilité avec la directive 95/46/CE de la loi constitutionnelle autrichienne imposant aux organismes publics soumis au contrôle de la Cour des Comptes (Rechnungshof) de communiquer les traitements et pensions de retraite de leurs agents lorsqu'ils atteignent un plafond déterminé.
► Arrêt Lindqvist, du 6 novembre 2003, aff. C-101/01.
La Cour se prononce pour la première fois sur le champ d'application de la directive sur la protection des données, et sur la libre circulation des données personnelles au travers du réseau Internet.

► Etat de la transposition de la directive 95/46/CE dans les Etats membres (EN).

► "Analysis of the U.S. Approach to Data Privacy", Mission américaine auprès de l'Union européenne.