Le traitement des données à caractère personnel sur les internautes par les moteurs de recherche

Chaque fois qu’un internaute utilise un moteur de recherche, celui-ci collecte un certain nombre de données à caractère personnel sur l’internaute. Quelles sont les données collectées ? Pour quelles finalités ?

Les données collectées par les moteurs de recherche sont de nature diverse : historique des requêtes, sites visités, adresse IP, cookies...autant d'informations qui ont en commun de permettre l'identification directe ou indirecte des utilisateurs.
Ces données sont indispensables aux moteurs de recherche qui les utilisent pour améliorer les services proposés, sécuriser leurs systèmes ou lutter contre les fraudes. Les données relatives aux utilisateurs représentent surtout une source d'informations majeure pour les moteurs de recherche qui les exploitent à des fins commerciales (notamment pour afficher des publicités ciblées lors de chaque requête faite par un internaute).
Dans un avis du 4 avril 2008 [2], publié à l'issue d'une large consultation menée auprès des principaux moteurs de recherche, le Groupe de Travail "Article 29"[1] (GT 29) analyse le régime qui leur est applicable. 

1. Les moteurs de recherche sont-ils responsables d'un traitement de données sur les utilisateurs ?

D'apparence, le rôle d'un moteur de recherche est celui d'un simple intermédiaire, chargé de fournir des données de contenu aux utilisateurs par le biais d'un index des résultats de la recherche. Seuls les éditeurs de sites web seraient responsables du traitement des données qu'ils publient. En réalité, les données personnelles diffusées sur internet sont souvent stockées sur les serveurs des moteurs de recherche qui peuvent alors retirer les données de leur index et de leurs résultats de recherche.

L'article 3 de la loi Informatique et libertés [3] définit le responsable d'un traitement de données à caractère personnel comme "la personne, l'autorité publique, le service ou l'organisme qui détermine ses finalités et ses moyens".
L'activité des moteurs de recherche ne se limite pas à fournir une liste de résultats à l'issue d'une requête formulée par un utilisateur. De plus en plus, ces sociétés proposent de stocker les contenus des sites web dans une mémoire cache ou bien se spécialisent dans le profilage des utilisateurs. Dès lors que les moteurs de recherche exercent un contrôle sur les données personnelles et déterminent les finalités de leur traitement, ils sont qualifiés de responsables d'un traitement.

2. Est-ce que les moteurs de recherche sont soumis aux lois européennes sur la protection des données à caractère personnel ?

Généralement, les moteurs de recherche sont des sociétés multinationales qui offrent leurs services dans le monde entier. Se pose dès lors la question de l'applicabilité de la directive sur la protection des données [4] et des lois nationales des pays membres de l'Union européenne (UE) dans la mesure où le siège social d'un moteur de recherche serait situé en dehors de l'UE.

L'article 5 de la loi Informatique et libertés prévoit que les traitements sont soumis à la loi française dans deux cas de figure :

- le responsable d'un traitement est établi sur le territoire français ;
- le responsable, sans être établi sur le territoire français ou sur celui d'un autre Etat membre de la Communauté européenne, recourt à des moyens de traitement situés sur le territoire français.
Dans la première hypothèse, les moteurs de recherche peuvent être tentés d'exclure l'applicabilité de la loi française au motif que leur siège social se situe en dehors de l'Union européenne et qu'ils n'ont aucun "établissement" sur le territoire français.
L'article 5 de la loi Informatique et libertés précise que "le responsable d'un traitement qui exerce une activité sur le territoire français dans le cadre d'une installation, quelle que soit sa forme juridique, y est considéré comme établi".
Selon le GT 29, le critère essentiel pour déterminer si la directive européenne est applicable repose non pas sur la forme juridique de l'établissement (bureau local, filiale, agence tierce) mais sur l'exercice effectif et réel d'une activité au titre d'accords stables [5]. De plus, pour qu'un établissement puisse être considéré comme responsable du traitement, il faut que le traitement soit mis en œuvre dans le cadre des activités réalisées par cet établissement (par exemple, lorsque l'établissement développe des relations commerciales avec les utilisateurs d'un pays donné ou vend des publicités auprès d'une population ciblée).
En France, le Tribunal de grande instance de Paris a refusé d'appliquer la loi Informatique et libertés dans le cadre d'un service proposé par Google. Le tribunal a jugé que l'article 5 de cette loi ne s'appliquait pas à la société Google France dans la mesure où celle-ci "simple agence, ne l'administre pas, aucun serveur dédié au service n'étant installé sur le territoire français" [6].
S'agissant, dans la deuxième hypothèse, des "moyens" utilisés sur le territoire français, l'existence d'une base de données, d'ordinateurs personnels, de terminaux ou de serveurs, ou encore l'utilisation de cookies, suffiraient à faire entrer le traitement de données à caractère personnel dans le champ d'application de la loi française [7].

2. Pendant combien de temps les moteurs de recherche peuvent-ils conserver les données à caractère personnel des utilisateurs ?

Le GT 29 a constaté que souvent Les moteurs de recherche conservent les données sur les utilisateurs pendant plus d'un an, voire même indéfiniment.

En droit français, l'article 6 de la loi Informatique et libertés pose un principe général selon lequel les données à caractère personnel "sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées." Autrement dit, bien que la loi Informatique et libertés n'impose aucune durée au responsable du traitement, ce dernier doit justifier la durée de conservation des données au regard de la(les) finalité(s) du traitement qu'il met en œuvre.
Appliquée aux moteurs de recherche, cette règle signifie qu'à l'issue de la session de recherche, les données relatives aux utilisateurs doivent normalement être effacées ou anonymisées. Le GT 29 et la CNIL préconisent une durée de conservation ne dépassant pas 6 mois [8]. Au-delà de cette durée, les moteurs de recherche doivent justifier que la conservation prolongée des données à caractère personnel est nécessaire au traitement.
Notons également que la directive sur la conservation des données [9] (transposée en droit français aux articles L.34-1 et R.10-11 et s. du Code des Postes et Communications Electroniques (CPCE)) ne s'applique pas aux moteurs de recherche qui, en principe, ne sont pas des opérateurs de communications électroniques. L'article R.10-13 du CPCE prévoit notamment que les opérateurs de communications électroniques doivent conserver les données relatives au trafic pendant un an. 

3. Quelles sont les informations obligatoires que les moteurs de recherche doivent fournir aux utilisateurs ?

L'article 32 de la loi Informatique et libertés oblige tout responsable d'un traitement à informer les personnes concernées sur les caractéristiques du traitement : identité du responsable du traitement, finalité poursuivie par le traitement, caractère obligatoire ou facultatif des réponses, conséquences éventuelles d'un défaut de réponse, destinataires des données, droits que détiennent les utilisateurs au titre de la loi Informatique et libertés et, le cas échéant, transferts de données envisagés. Les moteurs de recherche doivent également informer les utilisateurs lorsque des cookies sont installés sur leurs ordinateurs et sur les moyens pour s'y opposer.
Cette information doit être fournie aux utilisateurs dans un document préalablement porté à leur connaissance. En pratique, l'information peut prendre la forme d'une notice sur la politique de protection de la vie privée (ou politique de confidentialité) publiée sur la page d'accueil du moteur de recherche et que les utilisateurs peuvent accéder facilement.

4. Quels sont les droits des utilisateurs ?

Toute personne concernée par un traitement de données à caractère personnel peut demander la communication, sous une forme accessible, des données la concernant et peut en obtenir une copie. Le responsable d'un traitement doit informer les personnes concernées des coordonnées de la personne ou du service compétent auprès duquel elles peuvent exercer ce droit.
Les utilisateurs ont donc le droit d'accéder à toutes leurs données qui sont stockées sur les serveurs d'un moteur de recherche, notamment les données d'identification de l'utilisateur ou l'historique de ses recherches.
Les utilisateurs ont également le droit de rectifier, de compléter ou d'effacer les données qui sont inexactes, incomplètes, ou périmées. Les utilisateurs peuvent ainsi demander à un moteur de recherche de rectifier ou de supprimer les données qui sont conservées dans une mémoire cache lorsque celles-ci ne correspondent plus aux contenus publiés sur un site web.
Enfin, les utilisateurs ont le droit de s'opposer, pour des motifs légitimes, à ce que leurs données fassent l'objet d'un traitement et peuvent s'opposer à l'utilisation de leurs données à des fins commerciales.

5. Les moteurs de recherche doivent-ils recueillir le consentement préalable des utilisateurs ?

En principe, le responsable d'un traitement doit recueillir le consentement préalable des personnes concernées sauf si la réalisation du traitement se fonde sur un intérêt légitime.
Si l'activité de base des moteurs de recherche, à savoir la fourniture de contenus dans le cadre des requêtes en ligne paraît légitime, en revanche, d'autres activités réalisées par les moteurs de recherche nécessitent le recueil du consentement préalable.

En effet, lorsqu'un utilisateur a adhéré à différents services proposés par un moteur de recherche (courrier électronique, messagerie, discussion en ligne, blog, etc.), la corrélation que peut faire un moteur de recherche entre les données issues de ces services n'est autorisée que si l'utilisateur y a préalablement consenti. De même, les activités telles que l'enrichissement des données de l'utilisateur à l'aide de données provenant de sociétés tierces, le profilage ou la conservation des historiques de recherche doivent en principe faire l'objet d'un consentement préalable.

Conclusion : A l'issue des discussions entamées ces derniers mois avec les autorités européennes et le GT 29, certains moteurs de recherche ont annoncé des mesures concrètes pour réduire la durée de conservation des données et renforcer leurs politiques de confidentialité. La Cnil salue ces avancées et encourage la poursuite du dialogue [10].