"Ce délai de 6 mois n'est fondé sur aucun cadre juridique existant"

Le 4 avril 2008, un avis est adopté en Europe sur les règles applicables aux moteurs de recherche, afin que les données personnelles enregistrées par ces derniers soient effacées au plus tard au bout de six mois.

Interview de Chloé Torres, avocate, directrice du département Informatique et libertés du Cabinet Alain Bensoussan.

JDN Solutions. Les dernières règles fixées par la Cnil européenne sont-elles applicables immédiatement ?

L'avis du 4 avril 2008 n'a pas été adopté par la "Cnil européenne" mais par le groupe de l'article 29 qui est un organe consultatif européen indépendant sur la protection des données et la vie privée. Il regroupe les autorités européennes de protection des données mais les avis qu'il adopte ne constituent pas du droit positif. Les législations européennes peuvent s'en inspirer mais ne sont nullement tenu de suivre la position du groupe de l'article 29.

Légalement, combien de temps les moteurs de recherche peuvent-ils conserver leurs données ?

Chloé Torres. Dans son avis du 4 avril 2008 sur les moteurs de recherche, le groupe de l'article 29 précise que les données à caractère personnel enregistrées par les moteurs de recherche doivent être effacées au plus tard au bout de 6 mois. Ce délai de 6 mois n'est toutefois fondé sur aucun cadre juridique existant dans l'Union européenne et semble bien trop court.

Les moteurs américains sont-ils soumis aux règles édités par la Cnil ?

Le groupe de l'article 29 - dans son avis du 4 avril 2008 - considère que les règles européennes de protection des données s'appliquent aux moteurs de recherche même si leur siège social se trouve en dehors de l'Union européenne.

La question de la loi applicable aux moteurs de recherche est très complexe. L'article 5 de la loi Informatique et libertés soumet à la loi Informatique et libertés les traitements de données à caractère personnel dont le responsable, sans être établi sur le territoire français ou celui d'un autre état membre de la communauté européenne, recourt à des moyens de traitement situés sur le territoire français, à l'exclusion des traitements qui ne sont utilisés qu'à des fins de transit sur ce territoire ou sur celui d'un autre état membre de la communauté européenne.

Il semble donc que si aucun des moyens de traitements ne se trouve sur le territoire français, les moteurs de recherche échapperaient à la loi Informatique et libertés française et seraient soumis à la loi du lieu du serveur pour la protection des données personnelles.

Comment surveiller la bonne application de la loi et de quelle manière amener ces moteurs à réduire le temps de conservation de données ?

Le respect de la loi passe par l'autorégulation et le contrôle par chacun des mesures prises pour protéger les données personnelles. Les moteurs de recherche imposent des règles d'autorégulation et, en tout état de cause, la situation juridique des moteurs de recherche sur la protection des données à caractère personnel présente des ambiguïtés.

En effet, le statut des moteurs de recherche n'est pas abordé dans la loi pour la confiance dans l'économie numérique. Par ailleurs, on est sur l'exemple typique de la mondialisation. L'environnement n'est donc pas facile à appréhender. Aucun des moteurs de recherche ne semble aujourd'hui ignorer la protection des données. Ils ont souvent des "privacy rules" notamment. Toutefois, compte tenu de la précision du droit européen de la protection des données, il y a sans doute encore des marges de progression.