M. Christian Vanneste interroge Mme la ministre de la culture et de la communication sur le contenu et la portée de la recommandation sur la conservation des données personnelles par les moteurs de recherche, qui vient d’être adoptée par le rassemblement des 27 autorités européennes de protection des données. Il souhaiterait connaître les incidences que cette recommandation aura sur l’activité des moteurs de recherche et dans quelle mesure le rapport prévoit une meilleure protection des libertés individuelles.
Réponse de Christine Albanel, Ministre de la Culture :
Le contrôleur européen de la protection des données, établi en vertu de l’article 286 du traité instituant les Communautés européennes, de la directive 95/46/CE, et du règlement 45/2001, exerce le double rôle d’autorité de protection des données personnelles au sein des institutions communautaires et de supervision des autorités de protection dans les États membres. Le 4 avril dernier, le groupe de travail « Protection des données – Article 29 » ou « G29 », composé de représentants des autorités de protection des données de chaque État membre, du contrôleur européen de la protection des données et de la Commission européenne, a exprimé plusieurs recommandations à destination des moteurs de recherche, parmi lesquelles, la limitation à six mois de la conservation des données personnelles par ces entreprises et la nécessité d’un accord explicite de l’utilisateur pour que soit procédé à des recoupements entre les données des différents services d’une même entreprise (moteur de recherche et messagerie électronique, par exemple). Il convient tout d’abord de distinguer le cas où l’internaute s’est explicitement inscrit ou abonné à un service du cas où il l’a simplement utilisé sans inscription préalable ; c’est ce dernier cas qui nous intéresse ici. Le 8 septembre dernier, Google, numéro un sur le marché de la recherche sur Internet, a annoncé qu’il baisserait de dix-huit à neuf mois la limite de conservation des données personnelles de ses utilisateurs. Néanmoins, l’entreprise a exprimé son refus de se soumettre aux lois européennes de protection des données personnelles, invoquant des arguments d’extraterritorialité de ses activités. En réaction à ces annonces, M. Alex Türk, président de la Commission nationale de l’informatique et des libertés (CNIL) et du G29 a affirmé sa volonté d’engager des discussions avec Google, au cours desquelles seront abordés les nombreux points de dissension. Les 10 et 11 février 2009, le G29 a ainsi auditionné des représentants de quatre moteurs de recherche, dont Google, sur les sujets de la limitation de la conservation des données personnelles, de l’anonymisation de ces données et de l’applicabilité des lois européennes. À l’issue de ces auditions, le G29 a porté un avis positif sur l’émergence de standards partagés par les différents moteurs de recherche sur ces sujets, mais a rappelé, en tout état de cause, l’absolue nécessité de respecter la réglementation européenne sur la protection des données personnelles. Les avis du G29 n’ont valeur que de recommandation, et ne se substituent donc pas aux décisions contraignantes qui pourraient être prises par les autorités de protection de chaque État membre. Dans le domaine de la protection des données personnelles, les autorités compétentes s’engagent aujourd’hui dans des démarches de corégulation avec les entreprises fournissant des services innovants. En effet, la protection la plus stricte des données personnelles s’oppose à la qualité du service rendu à l’utilisateur, que ce soit en termes de ciblage comportemental (qui consiste à utiliser l’historique de recherche de l’utilisateur pour lui fournir un service personnalisé), de lutte contre le spam ou contre la fraude. Il y a donc un équilibre à trouver entre protection des données et qualité du service. En tout état de cause, il est nécessaire que l’action des autorités de protection des données personnelles conduise soit par le dialogue, soit par la réglementation, à l’amélioration du contrôle des internautes sur leurs propres données et à l’éducation des utilisateurs aux précautions à prendre pour réduire au minimum les risques d’atteinte à la vie privée sans remettre en cause les services les plus pratiques et innovants. Dans ce cadre, le Forum des droits sur Internet et la CNIL ont aussi lancé en septembre 2008 une consultation publique sur la vie privée sur Internet, dont il conviendra de suivre les résultats. Enfin le Conseil national de la consommation, qui rassemble des représentants des associations de consommateurs et des professionnels, a constitué un groupe de travail relatif à la protection des données personnelles des consommateurs. Les travaux de ce groupe ont débuté le 4 février dernier et devraient se terminer avant le mois de juin 2009. Cette instance permettra donc un échange entre le monde des consommateurs et le monde économique, notamment sur la question spécifique de la conservation des données personnelles par les moteurs de recherche dans une optique de protection économique du consommateur, qui viendra enrichir la réflexion en cours.
Question publiée au JO le : 22/04/2008 page : 3360
Réponse publiée au JO le : 05/05/2009 page : 4273