Hier, jeudi 28 janvier, était la «journée européenne de la protection des données à caractère personnel», une initiative du Conseil de l'Europe relayée par la Commission européenne. L'occasion de faire un point sur l'évolution des politiques de confidentialité appliquées par les principaux moteurs de recherche du marché.
La tendance au raccourcissement de la durée de conservation des données personnelles a été entamée suite à une directive européenne apparue le 15 mars 2006 et répondant au doux nom de Directive 2006/24/CE (voir aussi sur Wikipedia ). Celle-ci permettait aux États membres d'imposer une durée de conservation allant de 6 à 24 mois, une période déjà restrictive pour les pratiques ayant cours alors. En 2008, le G29 , comité rassemblant tous les homologues européens de la CNIL, préconisait -- sans contraindre -- une durée maximum de rétention des données de 6 mois et demandait aux sites Internet, portails et moteurs de recherche de rendre leurs historiques anonymes ou de les effacer après ce délai.
Dans une interview accordée au Point, le président de la CNIL Alex Türk dit souhaiter, à l'avenir, une règlementation mondiale et si possible contraignante, «peut-être sous l'égide de l'ONU» . Mais «cela va prendre des années» , regrette-t-il.
Microsoft
«La CNIL note avec intérêt les progrès dans la politique de confidentialité et le respect de la vie privée mise en œuvre par Microsoft.» Les félicitations de la CNIL font suite à l'annonce faite par le groupe de Redmond à Bruxelles, le 19 janvier 2010 : la durée de conservation des adresses IP enregistrées par Bing passera de 18 à 6 mois. Un admirable premier pas pour ceux qui comptaient, il y a quelques mois encore, se contenter de suivre le mouvement des autres multinationales... le jour où mouvement il y aurait. La nouvelle politique de confidentialité ne sera appliquée que d'ici un an à un an et demi, mais à une échelle mondiale et pas seulement européenne.
Le tableau d'honneur est toutefois entaché d'une fâcheuse omission, relevée par la CNIL : quid des cookies , ces petits fichiers textuels stockés sur l'ordinateur des internautes ? Leur durée de conservation restera inchangée. Comme il restera possible de «relier toutes les requêtes faites par un même utilisateur» au-delà de six mois, la politique de Microsoft n'est toujours pas conforme aux préconisations du G29.
Depuis 2007, Google a progressivement et régulièrement abaissé la durée de conservation des historiques de recherche. Une première (large) marge «de 18 à 24 mois» pour ne pas dépasser la limite fixée par la commission européenne, puis une restriction à 18 mois stricts pour répondre à une lettre du groupe de travail Article 29. En août 2008, enfin, la durée est divisée par deux sous la pression renouvelée du G29. De plus de deux ans à 9 mois : l'évolution est appréciable, et Google refuse d'aller plus loin.
Une note du blog officiel publiée la veille du Data Privacy Day rappelle ainsi que les 9 mois sont considérés, chez Google, comme «le juste équilibre entre la préservation des données confidentielles et les principes de sécurité» et de lutte contre la fraude. Pour marquer le coup tout de même et rassurer ses utilisateurs, la petite équipe des animateurs publicitaires de Google a sorti une vidéo listant les «5 principes de confidentialité» de l'entreprise. Le troisième est sans doute le plus important : via le récemment lancé tableau de bord des données stockées, tout possesseur de compte Google peut visualiser l'ensemble des informations conservées par les services Google (Blogger, Youtube, Picasa, Gmail...), modifier ou supprimer certaines d'entre elles.
Si la durée de rétention de 9 mois s'applique bien aux cookies, contrairement à Microsoft, c'est au niveau de l'anonymisation que Google pêche. Les adresses IP collectées ne sont que partiellement effacées et la portion conservée permettrait, selon l'expert de Microsoft Brendon Lynch, «de remonter à nouveau vers un internaute et reconstituer son historique de navigation.»
Yahoo!
Yahoo, comme AOL, conserve encore les historiques de recherche durant treize mois -- au lieu de 24, délai en vigueur avant la directive européenne. Yahoo a promis de réduire une nouvelle fois ce délai à trois mois d'ici l'été 2010, et de supprimer ensuite les cookies liés à la recherche, une partie de l'adresse IP de l'internaute, les informations sur les pages vues, les liens cliqués ainsi que l'affichage et les clics sur les publicités. Une mesure bien plus rapide et radicale que celle de ses concurrents.
De manière similaire au dashboard de Google, Yahoo propose un résumé des informations conservées et des possibilités de désinscription depuis une page dédiée . L'internaute peut également choisir d'accepter ou non l'affichage de publicités ciblées sur ses centres d'intérêt, calculs effectuées grâce aux historiques de recherche enregistrés.
Sur le même sujet :
- Google : Les données personnelles, une question de vie ou de mort
- « Google doit limiter la durée de conservation des données »
- Europe : Inquiétudes autour de la protection de la vie privée
- La CNIL à Google : Des progrès mais peut mieux faire
- Publicité : Ne plus être pris pour cible par Yahoo et Google
- Vie privée sur net : la CNIL veut informer les jeunes
- 6 mois ferme pour les données privées des moteurs de recherche