Le 4 avril 2008, le groupe des 27 "CNIL" européennes, a adopté à l’unanimité un avis précisant les règles applicables aux moteurs de recherche. Cet avis résulte d’une concertation avec les acteurs majeurs du secteur. Il précise notamment que les données personnelles enregistrées par les moteurs de recherche, doivent être effacées au plus tard au bout de 6 mois.

Après avoir procédé à la consultation des principaux moteurs de recherche, le groupe des "CNIL" européennes dit « G29 » a adopté, le 4 avril 2008, un avis sur la protection des données à caractère personnel applicable aux moteurs de recherche.

Cet avis précise les conditions d’application des règles juridiques communautaires et formule des recommandations, qui doivent améliorer la protection et le droit des utilisateurs des moteurs de recherche.

La loi européenne s’applique aux moteurs de recherche

Le G29 souligne que les règles européennes de protection des données telles que définies par la directive 95/46 , qui protègent les citoyens européens, s’appliquent aux moteurs de recherche, même si leur siège social se trouve en dehors de l’Union européenne.

Les données enregistrées par les moteurs de recherche ne doivent pas être conservées plus de 6 mois

Le G29 considère que les données personnelles enregistrées par les moteurs de recherche doivent être effacées dès que possible, et au plus tard au bout de 6 mois. Il rappelle à cet égard que les moteurs de recherche étant des « services de la société de l’information », ils ne sont pas concernés par la directive 2006/24/CE relative à la conservation des données, contrairement aux fournisseurs d’accès internet ou aux opérateurs de télécommunications. Ceci signifie que les moteurs de recherche ne sont pas légalement obligés de conserver des informations sur les connexions des utilisateurs.

En pratique, un moteur ne devrait pas conserver indéfiniment l’historique des requêtes effectuées et des sites consultés par un utilisateur. Cet historique peut révéler des informations très intimes, comme par exemple des problèmes conjugaux ou une opinion politique, à partir desquelles il est possible de déduire des habitudes de vie supposées ou un certain comportement. Il en va de la protection de notre vie privée.

Les européens doivent être informés de leurs droits

L’avis du G29 rappelle que les internautes doivent être clairement informés de l’ensemble de leurs droits en application de la directive 95/46. En particulier, l’information doit préciser les finalités des traitements, c’est-à-dire leur objectif, ainsi que les modalités d’exercice des droits d’accès, de rectification et de suppression des données.

Concrètement, quand des données concernant une personne sont publiées sur un site web, celle-ci peut demander à accéder, rectifier ou supprimer ces données auprès de l’éditeur du site. En cas de refus de ce dernier, les personnes peuvent saisir leur autorité de protection des données, telle que la CNIL ou les juridictions judiciaires. Toutefois, comme les moteurs de recherche conservent temporairement une copie de toutes les pages indexées, la version cache d’une page peut encore être consultée via le moteur de recherche même si la page a été effacée par l’éditeur du site. Dans ce cas, un internaute peut aussi demander l’effacement de ces données auprès du moteur de recherche.

Le consentement des internautes est nécessaire pour qu’un profilage soit mis en oeuvre.

Le G29 souligne que le consentement de l’internaute est requis que ce soit pour conserver l'historique des recherches qu’il a effectuées, enrichi son profil (à des fins de notamment de ciblage commercial) par croisement de données, ou encore pour l’utilisation de ses données par des moteurs spécialisés dans la "recherche de personnes".

A présent, de nouvelles discussions vont s’engager avec les moteurs de recherche afin de déterminer comment mettre en œuvre l’ensemble de ces mesures.