Les trois sociétés auraient fait de la rétention d'informations issues des moteurs de recherche  sur une durée trop longue et en ne garantissant pas suffisamment l'anonymat, en violation des règles communautaires, explique le groupe de travail Article 29 (organe regroupant les autorités nationales pour coordonner la protection des données privées en Europe).

Depuis 2008, ce groupe demande aux moteurs de recherche de ne pas conserver les informations plus de 6 mois. Les trois acteurs visés ont tous acceptés de modifier leur délai de stockage qui pouvait atteindre 18 mois. Les données collectées par les moteurs de recherche peuvent comprendre plusieurs détails, les termes recherchés, la date et l'heure de la recherche, l'adresse IP et le type de navigateur, le système d'exploitation et la langue utilisée. Le problème de l'organe communautaire est que la directive européenne sur la protection des données ne donne pas une durée précise sur la conservation des données. Par contre, les autorités étatiques peuvent fixer et contraindre les acteurs à respecter un certain délai de rétention.

Ainsi, Google conserve les données complètes pendant neuf mois en effaçant la dernière partie de l'adresse IP. Le groupe de travail a écrit à l'éditeur pour souligner que cette politique n'empêche pas l'identification des personnes concernées. Car Google conserve les cookies - fichiers de données utilisés pour suivre le comportement de l'Internaute sur un site web - pendant 18 mois, ce qui permettrait une identification par corrélation des requêtes de recherche.

[[page]]

Le groupe Article 29 rappelle également qu'avec 95% de part de marché dans certains pays, Google avait une influence significative dans la vie quotidienne des gens. La firme de Mountain View a répondu « nous développons nos politiques fondées sur la meilleure expérience pour les utilisateurs à la fois en termes de respect de leur vie privée, de qualité et de sécurité de nos services ».

Des efforts à poursuivre

Prochainement, Yahoo prévoit un programme de « désidentification » des fichiers log des utilisateurs au bout de 3 mois. Certaines données « identifiables » étaient néanmoins conservées pendant 6 mois pour des raisons de détection de fraudes ou d'obligations légales. Cependant, Yahoo n'a pas fourni d'informations suffisamment claires sur l'identification des utilisateurs et sur les cookies, souligne le groupe de travail.

Fin 2008, Microsoft militait auprès de ses concurrents pour le délai de 6 mois. Aujourd'hui, il propose la suppression de l'adresse IP de l'ensemble des requêtes de recherche datant de 6 mois. Mais le groupe de travail a mis en faute la façon dont Microsoft gère les cookies pour les utilisateurs enregistrés et non enregistrés de son moteur de recherche.

Pour être complet, les trois sociétés ont été appelées à contrôler leurs actions sur la protection des données personnelles par des auditeurs externes. Enfin, le groupe issu de l'article 29, a envoyé un courrier à la Federal Trade Commission pour savoir si les pratiques des entreprises concernées n'étaient pas contraires au Federal Trade Commission Act.