Le 4 avril 2008, un avis est adopté en Europe sur les règles
applicables aux moteurs de recherche, afin que les données personnelles enregistrées
par ces derniers soient effacées au plus tard au bout de six mois.
Interview de Chloé Torres, avocate, directrice du département Informatique
et libertés du Cabinet Alain Bensoussan.
JDN Solutions. Les dernières règles fixées par la Cnil
européenne sont-elles applicables immédiatement ?
L'avis du 4 avril 2008 n'a pas été adopté par la "Cnil
européenne" mais par le groupe de l'article 29 qui est un organe consultatif
européen indépendant sur la protection des données et la vie privée. Il regroupe
les autorités européennes de protection des données mais les avis qu'il adopte
ne constituent pas du droit positif. Les législations européennes peuvent
s'en inspirer mais ne sont nullement tenu de suivre la position du groupe
de l'article 29.
Légalement, combien de temps les moteurs de recherche
peuvent-ils conserver leurs données ?
Chloé Torres. Dans son avis du 4 avril 2008 sur
les moteurs de recherche, le groupe de l'article 29 précise que les
données à caractère personnel enregistrées par les moteurs de recherche doivent
être effacées au plus tard au bout de 6 mois. Ce délai de 6 mois n'est toutefois
fondé sur aucun cadre juridique existant dans l'Union européenne et semble
bien trop court.
"Si aucun des moyens de traitements ne se
trouve sur le territoire français, les moteurs échapperaient à la loi" |
Les moteurs américains sont-ils soumis aux règles édités
par la Cnil ?
Le groupe de l'article 29 - dans son avis du 4 avril 2008
- considère que les règles européennes de protection des données s'appliquent
aux moteurs de recherche même si leur siège social se trouve en dehors de
l'Union européenne.
La question de la loi applicable aux moteurs de recherche
est très complexe. L'article 5 de la loi Informatique et libertés soumet
à la loi Informatique et libertés les traitements de données à caractère
personnel dont le responsable, sans être établi sur le territoire français
ou celui d'un autre état membre de la communauté européenne, recourt à des
moyens de traitement situés sur le territoire français, à l'exclusion des
traitements qui ne sont utilisés qu'à des fins de transit sur ce territoire
ou sur celui d'un autre état membre de la communauté européenne.
Il semble donc que si aucun des moyens de traitements ne
se trouve sur le territoire français, les moteurs de recherche échapperaient
à la loi Informatique et libertés française et seraient soumis à la loi du
lieu du serveur pour la protection des données personnelles.
"Le statut des moteurs n'est pas abordé dans
la loi pour la confiance dans l'économie numérique" |
Comment surveiller la bonne application de la loi et de
quelle manière amener ces moteurs à réduire le temps de conservation de données ?
Le respect de la loi passe par l'autorégulation et le contrôle
par chacun des mesures prises pour protéger les données personnelles. Les
moteurs de recherche imposent des règles d'autorégulation et, en tout état
de cause, la situation juridique des moteurs de recherche sur la protection
des données à caractère personnel présente des ambiguïtés.
En effet, le statut des moteurs de recherche n'est pas
abordé dans la loi pour la confiance dans l'économie numérique. Par ailleurs,
on est sur l'exemple typique de la mondialisation. L'environnement n'est
donc pas facile à appréhender. Aucun des moteurs de recherche ne semble aujourd'hui
ignorer la protection des données. Ils ont souvent des "privacy rules"
notamment. Toutefois, compte tenu de la précision du droit européen de la
protection des données, il y a sans doute encore des marges de progression.