Google autorise tout le monde à demander une suppression d’information personnelle des résultats de recherche. Une mesure destinée notamment à lutter contre le doxxing, à condition de respecter plusieurs conditions.
Dans un billet de blog publié mercredi soir, Michelle Chang, l’une des responsables du moteur de recherche chez Google, a annoncé l’arrivée d’une importante capacité. Toute personne s’estimant en danger, de quelque manière que ce soit, suite à la disponibilité en ligne d’informations personnelles, peut demander à les supprimer.
Usurpation d’identité et fraude bancaire viennent immédiatement en tête, mais le doxxing est également visé. La pratique consiste pour rappel à partager les coordonnées d’une personne dans un but malveillant.
Si la demande est acceptée, Google pourra faire le ménage.
Les exigences de Google
Pour filtrer le flot de demandes qui ne manquera pas d’arriver, Google pose une série de conditions strictes.
Pour la suppression d’informations personnelles tout d’abord, il faut que ces dernières soient suffisamment sensibles pour être considérées. Numéros d'identification officiels y figurent, notamment les numéros de cartes d’identité dans la plupart des pays, celui de sécurité sociale aux États-Unis, etc.
Sont également pris en compte les numéros de cartes bancaires et de crédit, les images de signatures manuscrites, les photos de pièces d’identité, les documents officiels sensibles et à diffusion restreinte (comme les dossiers médicaux), les coordonnées personnelles (adresse postale, numéro de téléphone...) et les identifiants de connexion confidentiels. Outre tout ce qui provient de sources gouvernementales et officielles, Google considère aussi les contenus d'intérêt médiatique et ceux pertinents dans un contexte professionnel.
Dans un cas de doxxing, il faut réunir deux conditions : d’une part que les coordonnées figurent en clair, d’autre part qu’il y a soit des menaces (explicites ou implicites), soit incitations (là encore, explicites ou implicites) à nuire ou harceler.
La demande de suppression
La procédure passe par une page dédiée, dans laquelle on est guidé à travers une série de choix pour préciser la requête. Google demande par exemple si le webmaster du site concerné a été contacté.
Après sélection de la raison, on sera invité dans certains cas à compléter la demande par des informations précises. S'il s'agit de coordonnées personnelles, Google demande ces informations pour les repérer dans ses résultats. Si besoin, il faudra donc fournir son nom complet, l’adresse email de contact étant obligatoire.
On liste ensuite les URL des pages (une par ligne) où les informations sensibles apparaissent. Un bouton permet d’ajouter des captures d’écran, que Google recommande chaudement. Il est ensuite obligatoire de fournir les termes de recherche permettant d’afficher le contenu visé (un mot par ligne).
Une fois la demande envoyée, on reçoit un email de confirmation indiquant que son traitement aura lieu. L’équipe chargée d’examiner ces demandes peut vous contacter pour demander des informations supplémentaires, surtout quand les renseignements fournis ne sont pas suffisants ou quand des URL sont manquantes. Des instructions spécifiques sont alors envoyées.
Après quoi, deux possibilités :
- La demande est acceptée : toutes les URL mentionnées sont supprimées pour l’ensemble des requêtes ou seulement dans les résultats de recherche incluant le nom du plaignant, selon le cas.
- La demande est rejetée : une explication est fournie. Dans le cas où des informations supplémentaires seraient obtenues par la suite, rien n’empêche de refaire la demande.
Cependant, et comme le rappelle Google à juste titre, supprimer des URL ne résoudra pas toujours le problème. Ce n’est en effet pas parce qu’un résultat n’apparaît plus dans les recherches que l’information n’est plus disponible sur un ou plusieurs sites. Raison pour laquelle l’entreprise demande en début de formulaire si le webmaster a été contacté.
Autre point : que se passe-t-il dans le cas où le site qui affichait le contenu n’existe plus, mais que les informations apparaissent toujours dans le cache ? Il faudra malheureusement en passer par un outil différent, dédié à la suppression des URL obsolètes.
Et en cas de site récupérant de telles informations dans un but de revente ? Interrogée par The Verge, Google répond que les URL seront là aussi supprimées de ses résultats de recherche, à condition toutefois que les pages incriminées ne contiennent pas d’autres informations « d’intérêt public ». Que la page soit derrière un paywall ou pas.
Une simplification du droit à l’oubli
Google ne donne pas de contexte sur l’arrivée de cette fonction. On ne sait donc pas précisément quelle est la motivation de l’entreprise derrière cet outil, sinon peut-être de répondre à une pression croissante sur le thème du droit à l’oubli. Il est d’ailleurs valable partout où le moteur de recherche est disponible.
Comme le note TechCrunch toutefois, ce nouvel outil arrive quelques mois après avoir rendu possible, pour les mineurs de moins de 18 ans, de demander la suppression des photos où ils apparaissent. La procédure est alors sensiblement la même, notamment la liste des URL et les termes de recherche permettant d’arriver sur ces images.
La Cour de justice de l'UE avait déjà consacré un droit à l'oubli dans les moteurs dans un arrêt de 2014. Le RGPD de 2018 consacre lui aussi ce droit à l'oubli en son article 17. Il est conditionné non pas expressément à l'existence d'un doxxing, mais plus largement à l'existence d'un traitement illicite ou encore d'un retrait du consentement, parmi les hypothèses d'application.
Pendant ce temps, chez Google Analytics
L’entreprise avait été mise en demeure par la CNIL plus tôt dans l’année. Au cœur du problème, le traitement des données européennes aux États-Unis. Or, ces transferts sont devenus caduques depuis l’arrêt Schrems II ayant invalidé le Privacy Shield.
Dans Google Analytics 4, les adresses IP – y compris celles anonymisées – ne sont ni stockées ni inscrites dans un journal. L’entreprise placarde ce point important en préambule, avec pour conséquence l’absence de transferts. Concernant les données proprement dites, Google l'affirme : dans Analytics 4, les données européennes ne quittent jamais l’Europe.
Si Google précise la situation, c’est qu’Analytics 4 n’est sorti que depuis peu. La grande majorité des clients ont encore à migrer. Or, avec Analytics 3, ces garde-fous n’existent pas et il y a bien transfert d’adresses IP et contenus vers les États-Unis.
Un calendrier est déjà en place : au 1er juillet 2023, les clients n’ayant pas fait la migration seront automatiquement basculés sur Analytics 4. Google laisse le temps de s’organiser car la suppression des adresses IP dans l’équation remet en cause de nombreux processus, surtout pour la publicité.
La question est de savoir désormais comment les gendarmes des données personnelles jaugeront ce calendrier et surtout les modalités et la pertinence des choix du géant du numérique.
Commentaires (1)
Wikipédia