Intégration de moteurs de recherche étrangers sur les sites web de la Confédération

Toute personne cherchant des informations sur un site web de la Confédération, par exemple dans certains domaines politiques ou des thèmes liés à la santé, doit pouvoir compter sur le fait que les données sur sa personne sont traitées avec le plus grand soin. Les organes fédéraux sont tenus d’accorder une attention particulière aux exigences de protection des données.

La fourniture de services web implique de traiter régulièrement des données personnelles. Ainsi, selon la jurisprudence du Tribunal fédéral, même de simples adresse IP sont considérées comme données personnelles, si l'identification ne nécessite pas de moyens tels que, selon le cours ordinaire des choses, aucun intéressé ne les mettra en œuvre. Par ailleurs, des techniques telles que le recours aux cookies ou l´exploitation de ce que l´on appelle des «referrers»
(référants; indications sur l´adresse Internet du site web à partir duquel l´utilisateur a atteint la page actuelle en cliquant sur un lien) permettent souvent d´établir un rapport avec la personne.

La plupart des organes fédéraux proposent des services web et nous les conseillons fréquemment dans ce contexte. La question se pose alors de savoir si les organes fédéraux peuvent intégrer dans leur offre web des moteurs de recherche proposés par des entreprises privées étrangères. Le problème dans le cas examiné résidait dans l´impossibilité d´utiliser la fonction de recherche sans que des informations détaillées sur l´auteur et l´objet de la recherche ne soient transmises à l´entreprise privée domiciliée aux États-Unis. Les algorithmes de recherche reposent précisément sur le fait que ces données (l´adresse IP, mais aussi d´autres identificateurs d´utilisateurs explicites et des indications sur le comportement de recherche, comme les requêtes et les résultats cliqués) sont enregistrées et exploitées. En outre, selon la déclaration de protection des données de l´entreprise privée, les données pouvaient être utilisées à d´autres fins, notamment pour l´amélioration du propre logiciel de l´entreprise permettant l´affichage de publicité personnalisée. L´entreprise concernée exploite des centres de calcul sur l´ensemble du globe. Le nombre de personnes au sein de l´entreprise et les autres services (entreprises tierces privées, autorités étatiques) qui ont le droit ou la possibilité d´accéder à ces données ne sont pas connus et difficilement contrôlables. En raison de la multitude de données ainsi accessibles, ces entreprises sont régulièrement la cible d´attaques pirates du monde entier.

Alors que de telles prestations de services semblent avantageuses à première vue, la médaille a aussi son revers: en divulguant leurs données personnelles et en en perdant le contrôle, les utilisateurs paient finalement un prix élevé.

Depuis le 1er décembre 2010, les autorités fédérales ont une obligation d'informer de manière complète sur leurs collectes de données personnelles. Dans le cas du moteur de recherche de l'entreprise privée américaine que nous avons examiné, ni le but du traitement, ni les catégories de destinataires des données ou les modalités d'exercice du droit d'accès n'étaient suffisamment connus pour pouvoir répondre à l'exigence légale du devoir d'information.

Pour ces raisons, l'intégration de telles fonctions de recherche, proposées apparemment «gratuitement» par des entreprises étrangères, nous semble problématique et pratiquement impossible à mettre en œuvre d'une manière qui soit conforme à la loi.

https://www.edoeb.admin.ch/content/edoeb/fr/home/documentation/rapports-d-activites/anciens-rapports/19eme-rapport-d-activites-2011-2012/integration-de-moteurs-de-recherche-etrangers-sur-les-sites-web-.html