Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

cr  17.01.2015      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

La Cour de justice de l'Union européenne (CJUE) a estimé, le mardi 13 mai 2014, que certains utilisateurs ont le droit de demander aux moteurs de recherche de supprimer des résultats de recherche qui incluent leur nom, lorsque le droit à la protection de la vie privée des individus prévaut sur l'intérêt de présenter ces résultats de recherches.

Il ne s'agit pas de supprimer les données, ni même d'interdire de les trouver. Il s'agit de ne pas publier certains résultats trouvés (ces résultats continuant à être trouvables). Seuls les moteurs de recherche sont visés (l'affaire concernait spécifiquement Google Search).

Sont visés les moteurs de recherche, de manière restrictive, mais pas les autres sociétés et applications d'investigation

Article 80 de l'arrêt du 13.05.2014 par la CJUE :
« ...un traitement de données à caractère personnel, tel que celui en cause au principal, réalisé par l’exploitant d’un moteur de recherche, est susceptible d’affecter significativement les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel lorsque la recherche à l’aide de ce moteur est effectuée à partir du nom d’une personne physique, dès lors que ledit traitement permet à tout internaute d’obtenir par la liste de résultats un aperçu structuré des informations relatives à cette personne trouvables sur Internet, qui touchent potentiellement à une multitude d’aspects de sa vie privée et qui, sans ledit moteur de recherche, n’auraient pas ou seulement que très difficilement pu être interconnectées, et ainsi d’établir un profil plus ou moins détaillé de celle-ci. En outre, l’effet de l’ingérence dans lesdits droits de la personne concernée se trouve démultiplié en raison du rôle important que jouent Internet et les moteurs de recherche dans la société moderne, lesquels confèrent aux informations contenues dans une telle liste de résultats un caractère ubiquitaire... »




Puisque l'arrêt de la CJUE ne vise que les moteurs de recherche lorsqu'ils rendent visible une information nommant une personne, il faut donc que la personne nommée (qui doit se transformer en internaute même si elle ne l'est pas puisque les demandes ne se font que par formulaire Internet) le fasse auprès de chaque et tous les moteurs de recherche !

Il existe des milliers de moteurs de recherche pour seulement deux ou trois qui ont mis en place un protocole de droit à l'oubli ! Quelles sont les parts de marché des principaux d'entre eux ?


Moteurs de recherche - Parts de marché des principaux d'entre aux.
Moteurs de recherche - Parts de marché des principaux d'entre aux


Voir toutes les statistiques d'usage de l'un des moyens de traquer les internautes, l'usage de Web Bug, depuis janvier 2001.

C'est quoi, un Web Bug ?




Le « Droit à l'oubli », au sens du Droit, est gravé dans le bronze le mardi 13 mai 2014, lorsque la Cour de Justice de l'Union européenne (CJUE) déboute, de manière définitive, Google, dans une affaire privée née en Espagne. Un Espagnol avait fait deux requêtes auprès de l'équivalent de la CNIL, en Espagne :

  • La suppression de deux articles de presse que l'on pouvait trouver sur le Web, évoquant d'anciennes dettes.

  • Que Google n'indexe plus ces articles au motif que ces informations (ces dettes) n'étaient plus d'actualité.

L'Autorité espagnole n'a pas donné suite à la première requête et n'a donc pas ordonné la suppression des articles de presse. Par contre, l'Autorité espagnole lui a donné raison en ce qui concerne l'indexation de ces informations par le moteur de recherche de Google.

Google fait alors appel auprès de la Cour de Justice espagnole.

La Cour de Justice espagnole demande alors à la CJUE (Cour de justice de l'Union Européenne) de se prononcer sur ce point de droit.


Le communiqué de la CJUE (Cour de justice de l'Union Européenne) précise :

Cour de justice de l’Union européenne
COMMUNIQUE DE PRESSE n° 70/14
Luxembourg, le 13 mai 2014
Arrêt dans l'affaire C-131/12
Google Spain SL, Google Inc. / Agencia Española de Protección de Datos, Mario Costeja González


« Ainsi, lorsque, à la suite d’une recherche effectuée à partir du nom d’une personne, la liste de résultats affiche un lien vers une page Web qui contient des informations sur la personne en question, la personne concernée peut s’adresser directement à l’exploitant (…) de retirer de ses index et de sa mémoire intermédiaire des informations contenant des données à caractère personnel publiées par des tiers (...) pour obtenir (…) la suppression de ce lien de la liste de résultats. »


Progression de la procédure qui a force de loi et entérine le droit à l'oubli :

  1. 25.05.2012 - La demande de la cour espagnole à la CJUE

  2. 25.06.2013 - Les conclusions de l'avocat général

  3. 13.05.2014 - L'Arrêt de la Cour de Justice de l'Union Européenne (grande chambre) du 13 mai 2014

  4. 20.06.2014 - Publication au journal officiel de l'Union Européenne




Que disent les moteurs de recherche ? Que veulent-ils ? Que souhaitent-ils ?

Après la directive européenne instaurant un « droit à l'oubli », Google, premier espion du monde, a créé un Comité Consultatif et a organisé, de septembre à novembre 2014, une série de 7 conférences / débats, dans 7 capitales européennes (Madrid, Rome, Varsovie, Bruxelles, Berlin, Londres, Paris), sur l'équilibre à trouver entre le droit des personnes à l'oubli et le droit à l'information du public.

Voir la vidéo, en version française, de la conférence tenue à Paris le 25.09.2014.

Les acteurs du Web tentent de créer une notion de « droit à l'information du public » qui justifierait, une bonne fois pour toutes, le droit de traquer et piller les vies privées et de « travailler » sur ces « données privées ». Les moteurs de recherche cherchent tout sur tout et tout le monde, sans discrimination sur le contenu, la signification ou la portée de ce qu'ils trouvent, et classent ces informations de manière à ce qu'elles soient trouvées de manière organisée.

Il s'agit de faire entrer dans les mentalités et, si possible, dans le droit, le recul, voire la disparition de la notion de « vies privées ». La démarche est similaire à celle des éditeurs et journalistes avec leurs revendications au pseudodroit d'informer et au droit de le faire en toute impunité, même si la notion de « vie privée », inscrite en de multiples endroits dans le Droit, le code de la Poste, la Constitution et la déclaration Universelle des Droits de l'Homme, doit être balayée d'un méprisant revers de la main.

Il y a gourmandise à trouver et publier des informations de niveau tabloïd (presse populaire, poubelle, de caniveau) qui, malheureusement, on un public et permettent à certains de gagner de l'argent (ce qui est le but d'un moteur de recherche),

Il y a aussi une grande confusion et un grand flou entre la notion de vie publique (officiellement publique) et les bribes de données privées, publiées, par exemple sur Facebook et les autres réseaux sociaux, mais qui doivent rester des « données privées ».

Facebook est fait pour faire croire aux anonymes, les « inconnus », qu'ils ont une vie publique, qu'ils sont « connus », à tel point que certains achètent, auprès de hackers asiatiques, des milliers à millions de « suiveurs » [« followers », « follow me »] pour quelques dizaines d'€.

Être connu, c'est aussi écrire n'importe quoi sur soi, surtout dans les réseaux sociaux, afin de promouvoir son imbécilité qui, une fois passé l'âge de l'enfantillage, sera difficile à faire oublier et supprimer de la mémoire du Web.

Le fondateur de Facebook a déclaré, le 11 janvier 2010, qu'il fallait s'attendre à une « disparition de la notion de vie privée ». Bien sûr, son genre d'outil dont tout le monde se sert pour en faire une presse à scandale, trompeuse et menteuse, est son très gros gagne-pain.

Les moteurs de recherche veulent gagner de l'argent, beaucoup d'argent, et ils y arrivent très bien, mais sans eux, le Web n'existerait pas. Ils sont le poumon du Web, sa respiration (avec beaucoup de fumée cancérigène inhalée !).




On ne peut pas et l'on ne pourra jamais obtenir la suppression de données.

En l'état actuel des législations, il n'est pas possible de se faire totalement et définitivement oublier. Le Web, sur l'Internet, ses opérateurs (dont les Google, Bing et Cie) et ses utilisateurs (les internautes), font des copies de tout, partout, tout le temps. Tout est dupliqué, sauvegardé, archivé, etc.

Le « droit à l'oubli » consiste, uniquement, à demander aux outils de recherche de ne plus publier certains résultats trouvés, lors de recherche par le public (les internautes), mais les données en elles-mêmes continuent d'exister à vie et être stockées et répliquées un peu partout. Elles ne sont jamais effacées. Les liens (URL) vers elles par les moteurs de recherche, seuls concernés par la directive sur le droit à l'oubli, ne seront plus publiés suite à des procédures, parfois judiciaires, contre les moteurs de recherche.

Outre les deux seuls moteurs de recherche cités (Google search et Microsoft Bing) qui ont mis en place une procédure de « droit à l'oubli », parmi des centaines d'autres moteurs de recherche (liste) qui ne l'ont pas fait, il existe des sociétés et des applications qui ne sont pas concernées par la directive européenne sur ce « droit à l'oubli », car ce ne sont pas des moteurs de recherche au sens où la directive les décrit de manière très restrictive. Par exemple RIOT, le Google des vies privées.

D'autre part, l'arrêté de la Cour de justice de l'Union européenne (CJUE) précise, explicitement, que cela ne concerne que les informations publiées par des tiers. Autrement dit, les moteurs de recherche peuvent toujours afficher les résultats de recherches donnant des informations publiées par l'internaute lui-même (par exemple, tout ce qu'il a publié, lui-même, sur les réseaux sociaux, les forums, les blogs, etc.). Ici, en sus, l'utilisation de pseudo permet aux moteurs de recherche d'échapper à l'arrêt de la CJUE, le pseudo n'étant pas le nom de la personne !




Droit à l'oubli. Il ne s'agit pas des données collectées sur chaque internaute au monde (le tracking qui va permettre le profiling), mais des données collectées en indexant le Web, à longueur de journée.

Fournir chaque lien (URL) considéré éligible au droit à l'oubli
Fournir l'URL de chaque résultat trouvé ainsi que les raisons pour lesquelles son inclusion dans les résultats de recherche est hors sujet, obsolète ou autrement répréhensible. Sans ces informations, l'éditeur du moteur de recherche ne sera pas en mesure de traiter votre réclamation.

Fournir copie de sa pièce d'identité
Le demandeur doit joindre à sa demande une copie d'une pièce d'identité (carte nationale d'identité, permis de conduire, etc.). Le formulaire comporte le mécanisme d'envoi du fichier dans lequel l'internaute aura mis une image scannée de sa pièce d'identité.

Dater et signer la demande de droit à l'oubli
La demande est considérée comme « signée électroniquement » par le fait d'écrire son nom et de cliquer sur le lien « Envoyer ». La demande peut-être faite par quelqu'un pour quelqu'un d'autre (cas des tutelles ou curatelles...). Ne pas antidater la demande, ce qui conduirait l'éditeur à la rejeter en bloc, sans l'étudier.

Délais de traitement de la demande de droit à l'oubli
Les demandes sont traitées manuellement, formulaire de demande par formulaire de demande. Porter un jugement sur une demande et confronter cette demande aux contenus que l'éditeur trouve avec son moteur de recherche ou dont il dispose ne peut être robotisé. L'étude de la demande va entraîner un délai très variable, selon les cas. Le déréférencement ne concerne que les données où vous êtes nommé (identifiable). Si les données ne vous nomment pas, elles ne seront pas désindexées et il est inutile de faire une demande en ce sens.




Voir l'analyse et les solutions proposées par la CNIL (Commission Nationale de l’Informatique et des Libertés) : Notifier une violation de données personnelles.




Parts de marché des moteurs de recherche depuis un PC (janvier 2024)
Parts de marché des moteurs de
recherche
depuis un PC (janvier 2024)


Parts de marché des moteurs de recherche depuis un mobile (janvier 2024)
Parts de marché des moteurs de
recherche
depuis un mobile (janvier 2024)




Google (le moteur de recherche) représente environ 92,97% des recherches sur le Web, en janvier 2024.

Google a mis en ligne le 30.05.2014, soit à peine deux semaines après la décision de la CJUE (Cour de Justice de l'Union Européenne), un formulaire de demande de déréférencement. Un particulier peut demander directement à Google, au titre de L'Arrêt de la Cour de Justice de l'Union Européenne (grande chambre) du 13 mai 2014, la suppression de certains résultats de recherche. La demande se fait exclusivement au travers de ce formulaire (pas de courrier papier ou de courrier électronique).

Selon certaines sources, environ 70 % de ces requêtes reçoivent une suite défavorable. Google se retranche derrière des arguments que lui a donnés l'Arrêt de la CJUE :

  • Les données en question sont considérées comme professionnelles (par exemple un manquement au respect des règles de l'art dans un métier, etc.)

  • Les données en question sont toujours d’actualité - il faut que les données soient considérées comme obsolètes, très anciennes, voire mensongères, pour ne plus être indexées. Si les données concernent quelque chose de considéré comme d'intérêt public (condamnation au pénal, implication prouvée dans une escroquerie, etc.), elles continueront à être indexées et présentées dans les résultats des recherches.

  • C'est la personne elle-même qui est à l’origine des données.

    • Il est évoqué le « droit au déni » qui permettrait de dire et faire n'importe quoi puis de l'effacer plus tard, ce qu'il n'est pas question d'autoriser.

    • Il faut réfléchir avant d'agir, et pas après - sauf cas particulier. Une demande du type « J'ai été infantile à tel moment de ma vie » peut-elle être prise en compte par un moteur de recherche ?

  • En ce qui concerne les données hébergées sur un réseau social : les réseaux sociaux sont des outils pour avoir une vie publique et une absence de vie privée. Il faut réfléchir avant d'agir, et pas après.

Globalement, les décisions de Google de ne pas donner suite aux demandes de « droit à l'oubli » sont obscures et ne sont pas accompagnées d'une justification personnalisée.

La poursuite en justice de Google est envisageable, mais les conditions de maîtrise du droit et de la jurisprudence, ainsi que le coût, rendent cette démarche délicate et rarissime.

Ordonné le 19.12.2014 - Publié le 16.01.2015 - Google condamné au titre du Droit à l'oubli

Le TGI (Tribunal de Grande Instance) de Paris a condamné Google, le 19.12.2014, pour la première fois en France, au titre du droit à l’oubli (TGI de Paris, ordonnance de référé du 19.12.14 publiée le 16.01.2015).

Il est ordonné à Google de supprimer une indexation dans son moteur de recherche.

Une plaignante, qui fut condamnée en 2006 pour escroquerie, avait demandé à Google de retirer une indexation qui conduisait de son nom à un article faisant état de sa condamnation.

En septembre 2014, Google avait rejeté sa requête.

Saisi en référé, le TGI de Paris estime que l'indexation conduisant à cet article, dans son moteur de recherche, n’est plus appropriée, vu le temps écoulé depuis la condamnation et la publication de l'article incriminé.


Demande d'un webmaster à Google d'arrêter de bloquer / supprimer / déréférencer certains liens dans son site qui, au sens de la sécurité (type lute contre les malveillances, escroqueries, virus, etc., globalement appelée SafeSearch)




Droit à l'oubli auprès de Microsoft Bing

Microsoft Bing : accès au « Formulaire de demande de suppression de données à caractère personnel ».

  • Fournir à Microsoft Bing chaque lien (URL) considéré éligible au droit à l'oubli.

    Fournir l'URL de chaque résultat ainsi que les raisons pour lesquelles son inclusion dans les résultats de recherche est hors sujet, obsolète ou autrement répréhensible. Sans ces informations, Microsoft Bing ne sera pas en mesure de traiter votre réclamation.

  • Fournir à Microsoft Bing copie de sa pièce d'identité et de justificatifs de domicile

    Le demandeur doit joindre à sa demande une copie d'une pièce d'identité (carte nationale d'identité, permis de conduire, etc. ...) et des justificatifs de domicile dans un pays européen (facture EDF en France, etc. ...). Le formulaire de Microsoft Bing comporte le mécanisme d'envoi de fichiers dans lesquels l'internaute aura mis les images scannées de sa pièce d'identité et des justificatifs demandés.

  • Cas des personnes morales

    Justifier de votre rôle dans une quelconque communauté, association, société ou collectivité en rapport avec les informations figurant sur les URL ...

  • Signer la demande de droit à l'oubli faite à Microsoft Bing

    La demande est considérée comme "signée électroniquement" par le fait d'écrire son nom et de cliquer sur le lien « Envoyer ». La demande peut-être faite par quelqu'un pour quelqu'un d'autre (cas des curateurs...).

  • Délais de traitement de la demande de droit à l'oubli par Microsoft Bing

    Les demandes sont traitées manuellement, formulaire par formulaire. Porter un jugement sur une demande et confronter cette demande aux contenus que Microsoft Bing trouve ou dont il dispose, ne peut être robotisé. L'étude de la demande va entraîner un délai très variable, selon les cas.

Microsoft Bing (le moteur de recherche de Microsoft) représente environ 3,41% des recherches sur le Web en janvier 2024.

Microsoft Bing a mis en ligne le 16.07.2014, soit 1,5 mois après Google, son formulaire de demande de déréférencement. Un particulier peut demander directement à Microsoft Bing, au titre de L'Arrêt de la Cour de Justice de l'Union Européenne (grande chambre) du 13 mai 2014, la suppression de certains résultats de recherche. La demande se fait exclusivement au travers de ce formulaire (pas de courrier papier ou de courrier électronique).

Il n'y a pas, de la part de Microsoft, de taux d'acceptation ou de rejet connu.




Dites, Google, arrêtez de déréférencer mes pages ou de ne pas les indexer, même si je pointe vers des virus, des escroqueries, des malveillances et tout le toutim !

Concerne les éditeurs de sites Web (les Webmasters)

Outil Google de suppression (non-indexation) ou déréférencement d'URL

Demandes de webmasters au moteur de recherche de Google de ne plus bloquer / supprimer / déréférencer certains liens dans leurs sites Web.

Au sens de la société Google, les utilisateurs (les internautes) de son moteur de recherche doivent avoir confiance dans les résultats des recherches qu'ils font, aussi bien en termes de pertinence des résultats qu'en termes de sécurité des objets numériques que ces utilisateurs pourraient ouvrir, télécharger, installer, exploiter, exécuter...

Une fonction permettant d'indexer uniquement des objets de confiance, appelée SafeSearch, lors du crawl permanent de tous les sites Web du monde avec ses spiders, ne référence pas, voire déréférence des liens conduisant vers des dangers pour les internautes (ressources analysées comme étant des malveillances, escroqueries, virus, tromperies, etc.).

Regarder la liste des malveillances dont une partie ne sera pas référencée, voire sera désindexée.

Évidemment, il existe une chasse entre les moteurs de recherche et les cybercriminels, ces derniers s'ingéniant à ce que les moteurs de recherche ne puissent pas détecter la nature réelle de leurs malveillances et les moteurs de recherche s'ingéniant à les détecter.






Conférence « Advisory Council Meeting, 25 Septembre 2014, Paris – version française.

Conférence complète avec questions du public.

Nota : la vidéo mise à disposition par Google pèse près de 5 heures (04.49.31). Elle comporte 3 longs « blancs » :

  • Au début, la caméra enregistre dès l’heure de début théorique de la conférence-débat alors qu’elle ne va commencer qu’avec plus d’une ½ heure de retard. Nous avons donc droit, très consciencieusement, à un message fixe. J’ai donc coupé ce blanc.

  • Entre la conférence elle-même puis les débats avec le public, il y a une ½ heure de pause. Nous avons droit, consciencieusement, à un message fixe. J’ai donc coupé ce blanc.

  • À la fin, un message fixe d’environ 4 minutes. Coupé également (je n’ai gardé que quelques secondes)

La vraie conférence-débat pèse désormais 03.31.41 soit près de 1h20 de blancs supprimés.


  1. Ministère de l'Économie et des Finances (France, FR) : Données personnelles - utilisez des modèles de courriers pour faire valoir vos droits !

  2. Que choisir (FR) : Demande d’effacement de vos données personnelles

  3. CNIL (FR) : Notifier une violation de données personnelles

  4. Gouvernement (FR) : Cyber malveillance - Comment réagir en cas de fuite ou violation de données personnelles

  5. Ministère de l'Économie et des Finances (France, FR) : Protection des données personnelles : quels sont vos droits ?

  6. Google (FR) - Supprimer son compte Google (faire une sauvegarde des données avant la suppression chez Google)

  7. CNIL (FR) - Le droit à l’effacement : supprimer vos données en ligne

  8. Google (FR) - Signaler du contenu pour des raisons juridiques

  9. Yahoo (FR) : Qu'est-ce que le déréférencement et pourquoi les résultats Yahoo Search seront-ils déréférencés par rapport à mon nom complet en Europe ou au Royaume-Uni ?