[actus_l] Peter Fleisher, Google: «Cen’est pas à nous seuls de résoudre les ambiguïtés de l'Europe sur la conservation des données»

http://www.zdnet.fr/actualites/internet/0,39020774,39370215,00.htm

Peter Fleisher, Google: «Ce n’est pas à nous seuls de résoudre les ambiguïtés
de l'Europe sur la conservation des données» Par Estelle Dumout
ZDNet France
13 juin 2007

Juridique - Au moment où Google est critiqué pour sa gestion des données de
ses utilisateurs, Peter Fleisher, le responsable Europe de ce domaine, défend
sa politique de conservation des logs de connexion.

Sommé il y a quelques semaines par un groupe d'experts européens,  le Groupe
Article 29, d'expliquer sa gestion des données personnelles, Google vient de
modifier un aspect important de sa politique en la matière. Le moteur de
recherche a décidé de limiter à 18 mois la durée de conservation des logs de
connexions de ses utilisateurs.

En mars dernier, il avait déjà fixé une durée pouvant aller de 18 à 24 mois,
alors même qu'auparavant, il n'avait pas de règle précise.

Peter Fleisher, responsable Europe de la protection des données personnelles
de Google, détaille pour ZDNet.fr les raisons de ce choix, et ne manque pas de
souligner, selon lui, les contradictions des directives européennes sur la
conservation des données auxquelles sont soumises les sociétés internet.

ZDNet.fr - Pourquoi, dans sa réponse aux régulateurs européens, Google a-t-il
décidé d'abaisser la durée de conservation des logs des internautes? Peter
Fleisher - Tout d'abord, je tiens à préciser que j'ai décidé de publier sur
notre blog officiel notre réponse aux experts de Bruxelles, pour permettre à
tous d'accéder au débat. Cela démontre l'ouverture de Google dans ce sens.
Donc, en réponse aux demandes de précision des régulateurs européens, nous
avons décidé de fixer la durée de conservation des logs à 18 mois, point
final. C'est un choix volontaire et proactif de notre part; nous sommes le
seul moteur de recherche qui propose une période fixe et claire. La prochaine
étape, c'est la réunion des régulateurs européens les 19 et 20 juin. Mais ils
ont déjà indiqué qu'ils ne prendraient pas de décision d'ici à quelques mois.

Comment parvenez-vous à fixer la durée de conservation à laquelle vous devez
vous tenir? Dans ce courrier, je me suis efforcé d'expliquer les différents
facteurs, parfois contradictoires, qu'il faut prendre en compte pour la
conservation des données. Je rappelle que ces logs servent notamment à
défendre notre système vis-à-vis des hackers, et à protéger nos utilisateurs
contre les fraudes ou le spam. Cela nous permet de repérer les gens qui
tentent de percer nos systèmes, ou de faire de la fraude aux clics ou bien des
tentatives de phishing. Il faut savoir qu'avant qu'une attaque réussisse, les
hackers ont essayé pendant des mois auparavant, voire des années, de trouver
des failles.

Par ailleurs, la police aussi peut nous demander des logs, dans le cadre
d'enquêtes. Parallèlement, nous avons des indications contradictoires qui
émanent de la directive européenne sur la conservation des données. Pour
déterminer la période idéale de conservation, il faut trouver un équilibre
entre tous ces facteurs. Ensuite, on rend les données anonymes, c'est-à-dire
qu'on supprime entièrement la partie de l'adresse IP qui permet d'identifier
l'internaute.

Pourquoi n'avoir pas directement fixé cette durée précise?
La directive européenne sur la conservation des données oblige à conserver les
logs de connexion entre 6 et 24 mois. Donc tant que la période était floue,
nous avions voulu garder une flexibilité, en proposant un délai oscillant
entre 18 et 24 mois pour l'anonymisation des données. Le problème est qu'il y
a deux législations en contradiction: la directive sur la conservation des
données et celle sur la protection des données. Et en plus, chacun des Etats
membres peut fixer à sa guise la durée qui sera valable dans son pays. Ce
n'est pas à nous seuls de résoudre ces ambiguïtés. En tant que société
internet, il faut que nous ayons un seul niveau de protection des données.

Quid des cookies et de leur date d'expiration, un sujet qui inquiète aussi les
experts européens? Nous avons pris en compte les considérations des
régulateurs et nous menons actuellement un débat en interne pour améliorer nos
pratiques vis-à-vis des cookies. Nous annoncerons ces améliorations dans les
mois à venir.

Privacy International vient de vous infliger une note désastreuse en matière
de protection de la vie privée. C'est en contradiction totale avec l'image que
vous essayez de donner aujourd'hui. Nous sommes déçus du fait que Privacy
International ne nous aient pas consultés, et donc il ne nous a pas été
possible de corriger les erreurs avant publication. Je rappelle que Google est
le seul moteur de recherche à avoir dit non au gouvernement américain
lorsqu'il a réclamé d'avoir accès à un échantillon des requêtes tapées par nos
utilisateurs. De plus, d'autres sociétés ont eu des fuites, comme AOL l'année
dernière. Nous, cela ne nous est jamais arrivé, et pourtant on se retrouve en
bas de la liste. Il y a une confusion entre ce qui pourrait arriver, et ce que
nous avons réellement fait.

Allez-vous les contacter désormais? Il ne s'agit pour l'instant que d'un
rapport préliminaire, a précisé Privacy International qui se dit ouverte à
tout commentaire. Nous sommes prêts au dialogue avec tous les acteurs, mais
nous n'avons pas encore reçu d'invitation pour discuter avec Privacy
International. S'ils nous posent des questions, nous y répondrons.


_____
Liste de diffusion d'informations relatives à l'informatique et aux libertés
Info, dés/abonnement : http://listes.samizdat.net/sympa/info/actus_l