Une information citoyenne au service d'une identité européenne
Réactions, commentaires et débats avec des invités

Glossaire interactif des termes de l'Espace de liberté, de sécurité et de justice
Observatoire législatif de l’Espace européen de liberté, de sécurité et de justice
Veille juridique et documentaire axée sur la Charte des droits fondamentaux de l’Union européenne
Actualités des grands projets de l'Union européenne
Dossiers documentaires thématiques
Actualités sur le rôle de l'Union européenne dans le monde
Une information citoyenne au service d'une identité européenne

Protection des données personnelles : quelles règles européennes concernant les moteurs de recherche sur Internet ?

pdf mise en ligne :13 05 2008 ( NEA say… n° 50 )

ASILE > Système d'information Schengen

Le 4 avril 2008, les 27 contrôleurs européens de la protection des données personnelles (Groupe article 29), suite à une longue concertation avec la société civile et les principaux acteurs du marché, a adopté son avis précisant les règles de protection des données concernant les moteurs de recherche.

Après une longue concertation (cf. "Protection de la vie privée et Internet : le Parlement européen lance un débat de fond", NEA say... n°46), l'avis du G29 présente un ensemble de conclusions et recommandations relatives à l’applicabilité des directives communautaires, les obligations des moteurs de recherche et les droits des utilisateurs pour ne pas dire des citoyens. L’un des principaux points de l’avis concerne la durée de conservation des données personnelles pour les moteurs de recherche qui, selon le Groupe article 29, ne devrait pas excéder 6 mois. Or, il faut bien constater que les pratiques actuelles des grands acteurs du secteur font état de durées de conservation plus longues…

Désormais l’enjeu est clair : pour les moteurs de recherche, il s’agit de se mettre en conformité avec les règles européennes de protection des données et les recommandations du G29. Pour les autorités européennes, il s’agit de s’assurer de la mise en œuvre effective de ces règles. Il est donc essentiel que Parlement européen et Commission se concertent sur la voie à suivre, sur le plan législatif le cas échéant, ou que la Commission mette en demeure  ceux qui se trouvent en infraction et persistent dans leur comportement, pour le cas où il se vérifierait que l’état du droit est clair en la matière. 

Quelques grands principes

La loi européenne s’applique aux moteurs de recherche.
Le G29 souligne que les règles européennes de protection des données telles que définies par la directive 95/46 qui, pour l’instant, protègent les citoyens européens, s’appliquent aux moteurs de recherche, même si leur siège social se trouve en dehors de l’Union. L’adresse IP est une donnée personnelle.

Les données enregistrées dans les moteurs de recherche ne doivent pas être conservées plus de 6 mois.
Le G29 considère que les données personnelles enregistrées dans les moteurs de recherche doivent être effacées dès que possible, et au plus tard au bout de 6 mois. Il rappelle à cet égard que les moteurs de recherche étant des "services de la société d’information", ils ne sont pas concernés par la directive 2006/24/CE relative à la conservation des données, contrairement aux fournisseurs d’accès Internet ou aux opérateurs de télécommunications, ce qui signifie que les moteurs de recherche ne sont pas légalement obligés de conserver des informations sur les connexions des utilisateurs. Dans la pratique, un moteur de recherche ne devrait pas conserver indéfiniment l'historique des recherches et diverses requêtes effectuées et des sites consultés par les utilisateurs. Cet historique peut révéler des informations très intimes, ou une opinion politique ou autre à partir desquelles il serait possible de déduire des habitudes de vie, des comportements. Il en va de la protection de la vie privée.

Les citoyens européens doivent être informés de leurs droits.
L’avis du G29 rappelle que les internautes doivent être clairement informés de l’ensemble de leurs droits en application de la directive 95/46. En particulier l’information doit préciser les finalités des traitements, c’est-à-dire leur objectif, ainsi que les modalités de l’exercice des droits, d’accès, de rectification et de suppression des données. Concrètement, quand les données d’une personne sont publiées sur un site web, celle-ci peut demander à accéder, rectifier ou supprimer ces données auprès de l’éditeur du site. En cas de refus de ce dernier, les personnes peuvent saisir leur autorité de protection des données ou des juridictions judiciaires. Toutefois, comme les moteurs de recherche conservent temporairement une copie de toutes les pages indexées, la version d’une page peut encore être consultée via le moteur de recherche, même si la page a été effacée par l’éditeur du site. Dans ce cas, un internaute peut aussi demander l’effacement de ces données auprès du moteur de recherche. 

Le consentement des internautes est nécessaire pour qu’un profilage soit mis en œuvre.
Le G29 souligne fortement que le consentement de l’internaute est requis que ce soit pour conserver l’historique des recherches qu’il a effectuées, enrichir son profil (à des fins notamment de ciblage commercial) par croisement de données ou encore par l’utilisation de ses données par des moteurs spécialisés dans la recherche de personnes.

 

Un citoyen européen peut toujours s'adresser à son contrôleur national chargé de la protection des données.
Liste des contrôleurs nationaux, des pays de l'AELE, des pays candidats ainsi que des pays tiers