Au lieu de 24. Ces derniers mois n'auront pas été faciles pour le géant mondial des moteurs de recherche. Entre les interrogations du Groupe dit de l'article 29, le bonnet d'âne de Privacy International et les suspicions de monopole en matière de publi-cité en ligne avec le rachat de DoubleClik, Google balance entre efficacité, rentabilité et respect de ses utilisateurs.

La dépêche Reuters est tombée le 25 mai dernier : Google pourrait enfreindre les lois communautaires sur la protection de la vie privée en conservant les données relatives aux recherches effectuées par ses utilisateurs sur une période pouvant aller jusqu'à deux ans. Face à ce constat, le " G29 ", un organisme européen indépendant chargé de conseiller la Commission et d'alerter l'opinion publique en matière de protection des données personnelles (il réunit les représentants des organes consultatifs nationaux conseillant l'Union Européenne sur la politique de la vie privée), a adressé un courrier à l'intention de la direction de Google pour faire état de son inquiétude face au fait que Google conserve des informations sur les requêtes de ses utilisateurs pendant de trop longues périodes. Principalement, les préoccupations du G29 portaient sur la conservation des données concernant les recherches effectuées par les utilisateurs pendant une période de 18 à 24 mois, un délai " jugé trop long ".

" Hostile à la vie privée "
Quelques semaines plus tard, une ONG Britannique, Privacy International, publiait une enquête comparative menée durant 6 mois auprès de 23 sites de forte audience. Privacy International se penche sur l'organisation générale de la gestion des données privées, sur la collecte et la gestion des données, leur sauvegarde, sur l'ouverture et la transparence, la réactivité, l'éthique, le contrôle laissé à l'utilisateur sur ses données. Sur base de ses investigations, l'ONG classe les sites Web en six niveaux et seul Google obtient un drapeau noir, étant qualifié de " hostile à la vie privée : " Google a clairement des antécédents dans sa façon de nier le respect de la vie privée. Chacune de ses annonces comprend de nouvelles pratiques qui permettent la surveillance des utilisateurs d'une façon ou d'une autre " explique encore Privacy International qui qualifie Google d’ " ennemi du respect de la confidentialité en raison de la surveillance totale des utilisateurs. " L'ONG n'est pas tendre non plus pour les autres moteurs de recherche : elle qua-lifie de " menaces substantielles pour la vie privée AOL, Apple, Yahoo et Windows Live Space, le service de Blog de Microsoft.

Jouer la confiance
Peter Fleischer, le responsable de la production des données de Google pour l'Europe, devait reconnaître dans un entretien publié sur le site de BBC News, que la politique de confidentialité du moteur était " vague ". Et de réaffirmer que la conservation des données de recherches web est nécessaire pour améliorer les services de Google et les protéger contre les hackers. Selon le juriste, l'amélioration de l'algorithme de recherche, la lutte contre la fraude au clic et le spam et l'obligation de répondre aux injonctions légales comme la lutte contre la pédophilie sont les principales raisons qui poussent Google à stocker les données de connexion. Et Peter Fleischer de reconnaître que son groupe " pouvait mieux faire " en matière d'explication de partage d'informations. " Maintenir la protection des données personnelles est pour nous fondamental. Dans des circonstances très limitées, nous partagerons des données avec des tiers. Mais nous ne leur transférons jamais, y compris aux annonceurs, des informations qui puissent personnellement identifier nos utilisateurs. Le but de Google est d'être aussi transparent que possible avec ses utilisateurs concernant la confidentialité. Cette transparence crée la confiance. Nous réussirons ou nous échouerons en fonction de la confiance que nous accordent les internautes. "

 

Régie publicitaire universelle
Face à ces déclarations d'intention, reste que la machine Google est lancée à plein régime. Déjà, nombre de ses applications pistent l'Internaute : les données récoltées dans Google Desktop (l'indexation de vos fichiers, courrier électroniques, musiques, photos, stockés sur votre ordinateur), Google Maps (toutes vos requêtes d'adresses et de parcours) et Google Vidéo/YouTube (les vidéos que vous avez consultées), peuvent être comme l'explique la société sur son site : " combinées avec les informations issues d'autres services Google ou de tiers, dans le but d'en rendre l'utilisation plus agréable et, le cas échéant, de proposer des
contenus personnalisés" (http://www.google.com/intl/fr/privacy.htm). Avec le rachat de DoubleClick, Google va plus loin et s'empare de la presque totalité du marché publicitaire en ligne, devenant ainsi une régie publicitaire universelle. Grâce à ce rachat, Google, après avoir " pris en charge " l'Internaute durant ses recherches, pourra continuer à " l'accompagner " lorsqu'il aura trouvé ce qu'il cherche. DoubleClick est le numéro un mondial du marché de la publicité sur le Web. Il touche 80 % à 85 % des internautes. Quand un internaute clique sur un bandeau publicitaire, DoubleClick lui attribue un numéro particulier et enregistre ce numéro dans un "cookie". Ce cookie, de type persistant, est déposé sur le disque dur du PC pour pouvoir être " interrogé " au cours des sessions suivantes. Et lorsque l'on clique sur une autre publicité gérée par DoubleClick, ce cookie et sa technologie DART (Dynamic Advertising Reporting and Targeting) sont enregistrés pour constituer au fur et à mesure des consultations un profil (consommation, hobbies, sphères d'intérêts, lectures, loisirs,…) que le publicitaire peut vendre à sa clientèle d'annonceurs. Le mariage entre DoubleClick et Google confère, de l'avis même de l'EPIC (Electronic Privacy Information Center), une somme de données d'une ampleur jusqu'ici inégalée sur les habitudes des internautes puisque l'acquisition de DoubleClick permettrait à Google de disposer, en plus des données collectées en direct, des informations sur les comportements des internautes sur des sites clients de DoubleClick comme MTV ou AOL. Plus largement, on peut craindre que le croisement de ces deux gigantesques sources d'information n'aboutisse à une énorme base de données comportementales pouvant intéresser marchands, gouvernements, pirates et extrémistes. C'est pourquoi l'EPIC, de concert avec le CDD (Center for Digital Democracy) et l'US PIRG (US Public Interest Research Group) ont déposé plainte concernant ce rapprochement devant la Federal Trade Commission PIC. Elles demandent une enquête pour déterminer les implications de ce rachat sur les données personnelles des utilisateurs du moteur de recherche et sur les risques potentiels de la mise en place d'un système de surveillance électronique, pas du tout virtuel celui-là…

Jean-Luc MANISE

 

 

Infos utiles
http://www.privacyinternational.org/
http://www.libertysecurity.org/
http://www.epic.org/
http://www.google.com/intl/fr/privacy_faq.html#personalinfo
http://www.google.com/intl/fr/privacy_faq.html

 

Moteurs de recherche et vie privée : les réponses du CRID

En Belgique, est-ce que des moteurs de recherche de type Google peuvent utiliser les fichiers log de recherche pour les commercia-liser à des publicitaires, en fonction des mots clés utilisés (si le surfeur cherche souvent voiture, il peut être un client potentiel pour une nouvelle voiture) ? Que dit la loi belge en ce sens, quels sont les moyens de contrôle et de recours ?

Magali Dock, Chercheuse au CRID : " Les moteurs de recherche ne peuvent utiliser les données personnelles des utilisateurs comme ils le souhaitent. La collecte des données doit être loyale. Ils ne peuvent faire croire qu'ils poursuivent un but alors qu'ils ont l'intention de faire autre chose avec les informations recueillies. En outre, ils ne peuvent pas non plus agir à l'insu des utilisateurs. Il faut fournir des informations aux personnes auprès desquelles on recueille des données. Si les données sont traitées à des fins de
marketing direct (démarches publicitaires), il faut signaler aux personnes concernées (en l'occurrence les utilisateurs) qu'elles disposent du droit de s'opposer gratuitement à un tel traitement.

Les recours
Auprès de la Commission de la protection de la vie privée
En cas de difficultés rencontrées dans l'exercice des droits consacrés par la loi ou en cas de non-respect d'obligations découlant de la loi, la personne concernée peut adresser une plainte à la Commission de la protection de la vie privée. Cette mission intervient pour amener le responsable du traitement (en l'occurrence le moteur de recherche) à respecter les obligations que lui impose la loi. La commission s'efforce de résoudre les litiges à l'amiable. En cas d'insuccès, la Commission émet un avis sur le caractère fondé de la plainte. Si elle constate une infraction, elle la dénonce au Procureur du Roi. Elle peut aussi soumettre le litige au Président du tribunal de première instance.

Auprès du tribunal
" Celui qui n'est pas satisfait peut également porter plainte auprès du procureur du Roi auprès du tribunal de première instance de son domicile ou saisir le président de ce tribunal. Dans ce derniers cas, le recours à un avocat est particulièrement indiqué. "

Les utilisateurs peuvent-ils contrôler les fichiers que les moteurs de recherche conservent les concernant ? 
Magali Dock : " Les utilisateurs ont en effet un droit à la curiosité. Ainsi, chacun a le droit d'interroger tout responsable de traitement (en l'occurrence les moteurs de recherche) pour savoir s'il détient des données les concernant. Le moteur de recherche interrogé doit confirmer ou non s'il détient des données sur eux et, si c'est le cas, il doit préciser dans quel but il détient les données, de quelle catégorie de données il s'agit et quels sont les destinataires de ces données. Les utilisateurs ont un droit d'accès. Chacun a le droit de recevoir, sous une forme intelligible, une copie des données faisant l'objet d'un traitement ainsi que toute information disponible sur l'origine des données."