En réponse aux recommandations du groupe de l’article 29, qui regroupe la Cnil et ses homologues européens, les principaux moteurs de recherche se sont successivement engagés à réduire la durée de conservation des données personnelles collectées. Cependant, il semble illusoire de se focaliser sur la seule durée de conservation si la méthode d’anonymisation des données mise en œuvre n’est pas d’une grande robustesse.

***

9 mois, 6 mois si, 3 mois sauf ….

En avril 2008, le groupe de l’article 29, qui regroupe l’ensemble des Cnils européennes, formulait une recommandation dans laquelle il estimait que la durée de conservation des données à caractère pesonnel collectées par les moteurs de recherche ne devait pas être supérieure à 6 mois. En quelques mois, les principaux acteurs du secteur ont pris des initiatives remarquées pour aller dans le sens souhaité par les autorités de protection des données.

Assez rapidement Google avait indiqué qu’elle réduisait la durée de conservation à 9 mois en indiquant qu’elle n’avait pas l’intention d’aller au-delà. Plus récemment, en décembre 2008, deux annonces officielles ont été formulées par Microsoft puis par Yahoo ! Microsoft s’est engagé pour 6 mois à la condition que ses concurrents fassent de même. Yahoo a rétorqué en annonçant 3 mois sauf exceptions concernant les impératifs de sécurité, de lutte contre de la fraude et de respect des obligations légales. Le 17 décembre 2008, la Cnil a salué ces avancées dans un communiqué.

 Anonymisation ou modification ?

Une fois passé l’effet d’annonce sur les durées de conservation, le débat s’est ensuite déplacé sur le terrain de la robustesse et de la transparence des méthodes d’anonymisation. Microsoft, par la voix de John Vassalo, conseiller pour les affaires européennes, indique qu’il est illusoire de se focaliser sur la seule durée de conservation si la méthode d’anonymisation mise en œuvre n’est d’une grande robustesse. Microsoft pense être le seul acteur à avoir une procédure d’anonymisation qui entraine de façon irréversible la suppression totale des adresses IP et des identifiants de sessions croisées tels que les cookies ID.

Inversement Yahoo s’attire les critiques de défenseurs de la vie privée et notamment de Marc Rotenberg, le responsable de l’EPIC (Electronic Privacy Information Center). Il estime que Yahoo introduit de la confusion dans le débat sur la protection des données en présentant comme de l’anonymisation une méthode qui s’apparente à une simple modification de données. Pour le privacy advocate américain, la méthode retenue, trop simpliste, s’apparente à celle qui consiste à dissimuler les derniers chiffres d’un numéro de téléphone.

La controverse qui est apparue à l’occasion de ces annonces peut globalement se résumer en une seule question : est-il possible de considérer qu’il existe forme légitime « d’anonymisation réversible », c’est-à-dire qui permet dans certaines conditions de remonter à l’identité de la personne, ou s’agit-il au contraire d’un oxymore ?

Le National Institute of Standards and Technology (NIST), organisme public américain, fournit un élément de réponse dans un document un document daté de janvier 2009 consacré à la protection des données à caractère personnel. On y trouve notamment une intéressante distinction établie entre l’anonymisation et la désidentification (De-Identifying et Anonymizing). Pour les auteurs, la transformation des données à caractère personnel en données anonymes a obligatoirement un caractère irréversible. Inversement, la désidentification permet de masquer l’identité d’une personne mais, dans certaines conditions, il restera éventuellement possible de remonter à la donnée d’origine.

Longtemps perçu comme uniquement technique, la question de l’anonymisation et des méthodes associées commence aujourd’hui à être présente dans le débat public de la protection des données.

Arnaud Belleil