Informatique et libertés
Secteur internet
Traitement des données personnelles par les moteurs de recherche : quelles sont les limites ?
Dans son avis du 4 avril 2008 sur les moteurs de recherche (1), le groupe de l’article 29, qui regroupe les autorités européennes de protection des données, précise que les données à caractère personnel enregistrées par les moteurs de recherche doivent être effacées au plus tard au bout de 6 mois. Ce délai n’est toutefois fondé sur aucun cadre juridique existant dans l’Union européenne et peut sembler bien trop court pour constituer une règle efficace. Actuellement, le statut des moteurs de recherche ne fait l’objet d’aucune disposition spécifique dans la loi sur le commerce électronique (LCEN) (2), pas plus que dans la directive qu’elle a transposée (3). Bien au contraire, il a été prévu la remise d’un rapport sur l’application de la directive qui examinerait la nécessité de présenter des propositions relatives à la responsabilité des fournisseurs de liens hypertextes et de services de moteurs de recherche.
En fait, la détermination de la loi applicable aux moteurs de recherche (à défaut de statut) trouve sa source à la fois dans la LCEN et dans la loi informatique et Libertés. La première assimile les moteurs de recherche aux activités de commerce électronique, lesquelles sont soumises à la loi de l’Etat membre sur le territoire duquel la personne qui l’exerce est établie. La seconde, modifiée en août 2004, retient le critère de « l’établissement stable » pour déterminer la loi nationale qui s’impose au responsable de tout traitement de données à caractère personnel (celui qui en détermine les finalités et les moyens). En l’absence d’établissement stable sur le territoire européen, la loi dispose que le responsable d’un tel traitement est néanmoins soumis à la loi nationale lorsqu’il recourt à des moyens de traitement situés sur le territoire français, à l’exclusion des traitements qui ne sont utilisés qu’à des fins de transit sur ce territoire. Or, les moteurs de recherche détiennent de nombreuses données (Fichiers log, adresse IP, cookies, etc.), dont ils assurent la conservation pour des durées indéterminées. Les moteurs de recherche non établis en Europe doivent donc désigner un représentant établi sur chaque territoire national afin de se soumettre aux exigences de la loi locale.
(1)Avis 1/2008 du G29 sur les moteurs de recherche, 4 avril 2008
(2) Loi du 21/06/2004
(3) Dir. CE n°2000/31 du 08/06/2000
Paru dans la JTIT n°80/2008 p.7
(Mise en ligne Septembre 2008)