En mai 2018 entrera en vigueur une nouvelle loi, appelée GDPR (General Data Protection Regulation), qui remplacera la célèbre loi "Informatique et Libertés", très importante dans le domaine de la recherche d'information et du SEO. Cette loi européenne va modifier en profondeur bon nombre de points qui touchent les moteurs et le référencement naturel, aussi est-il important de bien la comprendre pour l'appréhender de la meilleure façon possible. Ceci est l'objet de cet article en deux parties.

Par Alexandre Diehl


Le 25 mai 2018 entrera en vigueur le règlement européen 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (RGPD ou « GDPR » en anglais pour General Data Protection Regulation). Ce règlement remplace la loi « informatique et libertés », impose de nouvelles contraintes et règles, fixe des vraies sanctions et détermine finalement une nouvelle manière de traiter les données personnelles pour tous les acteurs, à commencer par ceux du SEO. À un an de l’arrivée de cette nouvelle loi, nous exposons ici le détail de ces nouvelles règles et surtout son enjeu pour l’ensemble de notre écosystème.

Rappel sur l’importance du cadre législatif de la protection des données personnelles

Tout le monde va entendre parler du GDPR dans les mois qui viennent. La plupart des articles et autres déclarations de professionnels ne sera que propositions de services et publicités. Or, le changement de cadre juridique aura un impact réel et concret sur tous les acteurs du SEO, sans exception. Il est donc important de comprendre la teneur de cette nouvelle loi et non juste le message publicitaire.

En effet, il faut rappeler que l’actuelle loi « informatique et libertés » est le seul fondement juridique relatif à la gestion des données personnelles, au contrôle des GAFA, à commencer par Google, au fameux « droit à l’oubli », aux demandes de déréférencement, à la sécurité informatique, etc… Finalement, la très grande majorité des pratiques, habitudes, méthodologies et techniques SEO est légalement encadrée par la loi relative à la protection des données personnelles. L’arrivée de ce règlement européen va donc être un chamboulement pour tous les professionnels. Mais il est possible que cet événement soit, en réalité, source d’opportunités voire d’améliorations pour chacun d’entre nous. C’est dans ce sens que cette présentation a été rédigée.


Fig. 1. Une maxime à suivre...

Un règlement européen est un acte juridique émanant de l’Union européenne qui a vocation à s’appliquer directement dans toute l’Union européenne. Il n’y a pas besoin de loi française de transposition, de débat au Parlement ou d’acte national pour que le règlement s’impose à nous tous. Dès son entrée en vigueur (visé à l’article 99 dans ce document), il s’applique pleinement. Il s’agit donc d’une « loi européenne » avec toutes les prérogatives habituelles qui découlent habituellement d’une loi.

A compter du 25 mai 2018, il n’y aura donc plus de loi « informatique et libertés » (sauf quelques points qui resteront en vigueur pour des aspects très spécifiques, qui ne nous intéresseront probablement pas pour le SEO). En revanche, la CNIL va subsister (très probablement sous le même nom), car les contrôles et sanctions ont été très largement renforcés. La CNIL a d’ailleurs déjà souligné qu’elle mettrait en œuvre ces contrôles et sanctions (https://www.cnil.fr/fr/controles-bilan-2016-et-programme-2017). À la lecture des articles 51 et suivants, la CNIL restera manifestement une entité Française et non pas une entité communautaire déconcentrée en France (comme certaines autres autorités anciennement françaises devenues communautaires).

Pour la cohérence de l’interprétation et de l’application du GDPR, les autorités nationales vont continuer à coopérer au sein du Groupe de l’Article 29 (qui prendra le nom de « Comité européen de la protection des données » et aura la personnalité morale) et la Cour de Justice de l’Union européenne (cour suprême du pays) sera la seule juridiction compétente pour interpréter le texte à l’avenir. Les divergences d’appréciation entre pays (notamment Espagne, Allemagne ou France) vont donc disparaître.

Champ d’application : à qui s’applique ce GDPR ?

Le règlement ne s’applique pas aux activités hors droit de l’Union européenne (activités régaliennes, comme les services de renseignement) ou de la PESC (Politique Européenne de Sécurité Commune), ni dans le cadre des activités de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales.

Le propre de notre activité est qu’elle s’applique mondialement, même si le SEO est souvent localisé en termes de moteurs sur des langues ou des pays. La territorialité de l’application du GDPR est donc fondamentale :

  • le GDPR s'applique aux traitements des données réalisés par un responsable du traitement ou un sous-traitant situé sur le territoire de l'Union, que le traitement ait lieu ou non dans l'Union. En d’autres termes, quand on est dans l’Union, on respecte le droit de l’Union, même pour les traitements qui sont à l’autre bout du Monde ;
  • le GDPR s'applique aussi aux traitements de données relatives à des personnes concernées (des consommateurs par exemple) qui se trouvent sur le territoire de l'Union par un responsable du traitement ou un sous-traitant qui n'est pas établi dans l'Union, lorsque les activités de traitement sont liées soit à l'offre de biens ou de services à ces personnes concernées dans l'Union (qu'un paiement soit exigé ou non), soit au suivi du comportement de ces personnes, dans la mesure où il s'agit d'un comportement qui a lieu au sein de l'Union. En d’autres termes, le texte est clair : un moteur situé hors Union européenne devra respecter le GDPR car il est accessible et ouvert à des consommateurs européens.

Le nouveau texte est un peu plus large que la loi « informatique et libertés » et s’applique à toute entité qui utiliserait des données personnelles d’européens. Les sociétés américaines ou chinoises qui se protègent aujourd’hui derrière le respect de leurs propres lois devront désormais tenir compte de ces réglementations pour pouvoir pénétrer le marché européen.

Les grands principes restent les mêmes

Les principes directeurs de la loi « informatique et libertés » ont été repris par le GDPR. Même si l’actuelle Présidente de la CNIL est efficace et, accessoirement, préside le Groupe de l’Article 29, c’est bien un travail commun « ouest-européen » qui est à l’origine de la confirmation des grands principes.

Ainsi, les données personnelles doivent être:

  • traitées de manière licite, loyale et transparente au regard de la personne concernée ;
  • collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités (le traitement historique ou à des fins statistiques est accepté) ;
  • adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ;
  • exactes et, si nécessaire, tenues à jour ; toutes les mesures raisonnables doivent être prises pour que les données personnelles qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder ;
  • conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées (la conservation historique ou à des fins statistiques est acceptée, pour autant que soient mises en œuvre des « mesures techniques et organisationnelles appropriées ») ;
  • traitées de façon à garantir une sécurité appropriée des données.

Ceux-ci ont fondé de très nombreuses recommandations, réprimandes et actions de la CNIL à l’égard des Yahoo! (pour les plus anciens), Google et autres Microsoft. Ainsi, la CNIL avait enjoint Google et Yahoo! de limiter l’utilisation faite des données personnelles (notamment les requêtes) qui étaient, à l’époque, conservées sans limitation de délai, puis avec une durée jugée trop longue. Finalement, les moteurs s’étaient manifestement conformés aux demandes de la CNIL (et autres autorités de protection des données personnelles) sur ce terrain.

A ce stade, il est important de souligner que, comme précédemment, ne peuvent être utilisées que des données qui respectent ces principes. Cela induit que les bases de données / datalakes utilisées doivent comprendre des données dont on peut certifier la traçabilité (comme pour un produit alimentaire) et les conditions de collecte. Ce point va devenir rapidement essentiel dans un futur proche et sera contrôlé par la CNIL. En d’autres termes, le temps où l’on « achète » des « bases opt-in » est révolu, il convient désormais de s’assurer que les données collectées respectent bien les principes ci-avant visés.

Comme sous l’empire de la loi « informatique et libertés », la question de l’utilisation de données à d’autres fins est fondamentale. Si je collecte des données pour mieux connaître les utilisateurs / clients de mon site en leur racontant que c’est seulement pour m’améliorer, je ne pourrai pas « revendre » ces données à des banques ou des assurances pour qu’ils les utilisent pour du démarchage. La finalité déclarée est donc absolument fondamentale. En revanche, si les finalités déclarées sont assez vagues (par exemple, « vous nous fournissez vos données personnelles pour l’utilisation du site, pour l’amélioration de nos produits et pour nos partenaires commerciaux » - clause trop vague à ne pas reprendre), et semblent permettre d’utiliser les données personnelles pour tout et n’importe quoi, le GDPR donne des indications nouvelles et enjoint le responsable du traitement de tenir compte, entre autres :

  • de l'existence éventuelle d'un lien entre les finalités pour lesquelles les données personnelles ont été collectées et les finalités du traitement ultérieur envisagé ;
  • du contexte dans lequel les données personnelles ont été collectées, en particulier en ce qui concerne la relation entre les personnes concernées et le responsable du traitement ;
  • de la nature des données personnelles, en particulier si le traitement porte sur des données sensibles ;
  • des conséquences possibles du traitement ultérieur envisagé pour les personnes concernées ;
  • de l'existence de garanties appropriées, qui peuvent comprendre le chiffrement ou l’anonymisation.

De même, le traitement en lui-même n'est licite que si :

  • soit la personne concernée a consenti au traitement de ses données pour des finalités spécifiques; Le consentement doit être donné dans un cadre spécifique, pas au milieu de Conditions Générales de 20 pages. Il doit s’agir, par exemple, d’une case spécifique à cocher le cas échéant ou d’un texte distinct, spécifique, très clair.
    C‘est au responsable du traitement de démontrer que l’utilisateur a donné son consentement. En d’autres termes, pour ceux qui ont besoin de recueillir le consentement, il sera nécessaire de mettre en place des procédures d’identification de la personne (au-delà la simple adresse IP) et de son acceptation, comme font aujourd’hui les sites marchands pour l’acceptation des Conditions Générales d'Utilisation / Conditions Générales de Vente.
    Les enfants peuvent donner leur consentement à partir de 16 ans (certains Etats peuvent même descendre jusqu’à 13 ans).
  • soit le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci ;
  • soit le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis (dans son propre pays ou là il est offre ses services, pas n’importe où) ;
  • soit le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique ;
  • soit le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ;
  • soit le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers.

Dans le cas de la recherche naturelle par exemple, l’utilisateur a un « contrat » avec le moteur aux termes duquel le moteur collectera et utilisera les données personnelles.

Enfin, les traitements qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, les traitements de données génétiques, de données biométriques aux fins d'identifier une personne physique de manière unique, de données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique doivent :

  • soit être explicitement consentis par la personne concernée pour des finalités spécifiques ;
  • soit le responsable du traitement doit exécuter une mission d’intérêt public ou d’une obligation légale (par exemple : médecine du travail ou « protection contre les menaces transfrontalières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ») ;
  • soit le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale, à condition que ledit traitement se rapporte exclusivement aux membres ou aux anciens membres dudit organisme ou aux personnes entretenant avec celui-ci des contacts réguliers en liaison avec ses finalités et que les données personnelles ne soient pas communiquées en dehors de cet organisme sans le consentement des personnes concernées ;
  • soit le traitement porte sur des données personnelles qui sont manifestement rendues publiques par la personne concernée.

Le dernier point est nouveau et peut permettre de nouvelles pratiques SEO qui étaient jusque là interdites compte tenu du caractère « sensible » des données.

L’information des personnes concernées

Pour que les données soient collectées et traitées de manière licite, loyale et transparente, pour des finalités déterminées, explicites et légitimes, il faut que la personne concernée soit informée (voire qu’elle accepte, selon le contexte) de nombreux renseignements. Cette information (ou consentement, selon) déterminera la légalité de la collecte de la donnée et donc, son exploitation par la suite.

Lorsque des données sont collectées directement auprès de la personne concernée, le responsable du traitement lui fournit :

  • l'identité et les coordonnées du responsable du traitement et, le cas échéant, de son représentant (Président, gérant, etc…) ;
  • le cas échéant, les coordonnées du DPO (délégué à la protection des données) ;
  • les finalités du traitement ; Lorsque le responsable du traitement a l'intention de poursuivre, plus tard, d’autres finalités autre que celle pour laquelle les données ont été collectées, il doit au préalable à la personne concernée des informations au sujet de cette autre finalité.
  • les destinataires ou les catégories de destinataires des données ;
  • les éventuels transferts de données hors Union et le fondement juridique de ces traitements ;
  • la durée de conservation des données ;
  • l'existence du droit de demander au responsable du traitement l'accès aux données, la rectification ou l'effacement de celles-ci, du droit de s'opposer au traitement et du droit à la portabilité des données ;
  • l'existence du droit de retirer son consentement à tout moment ;
  • le droit d'introduire une réclamation auprès de la CNIL ;
  • les informations sur la question de savoir si l'exigence de fourniture de données a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d'un contrat et si la personne concernée est tenue de fournir les données, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données ;
  • l'existence d'une prise de décision automatisée, y compris un et, le cas échéant, les informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée.

En d’autres termes, la nouvelle loi impose la rédaction d’un pavé qui ne peut pas être contenu sur quelques lignes comme pouvaient l’être auparavant les fameuses « mentions CNIL ».

Il est extrêmement important de bien comprendre que les données collectées sur la base de ces informations sont « marquées » de celles-ci. Ainsi, si j’ai donné mon numéro de téléphone à un organisme sur la base d’informations spécifiques, comme la finalité ou la durée de conservation, le responsable du traitement ne peut pas changer d’avis plus tard et se dire qu’il va utiliser mon numéro de téléphone dans un autre cadre. En conséquence (et sauf certaines exceptions), si l’on veut utiliser une donnée pour un autre cadre, il faut recontacter toutes les personnes concernées pour les informer à nouveau. Ainsi, les canaux d’acquisition des données auprès des personnes directement concernées doivent être appréhendés de manière prospective. Ainsi, il faudra anticiper au maximum l’utilisation future des données et, également, prendre grand soin de la rédaction de cette « notice données personnelles » afin qu’elle soit conforme à la loi, mais surtout, qu’elle soit pertinente pour le présent et le futur. Les sociétés devront désormais mettre en place des procédures de détermination de ces informations en amont et, également, des structurations de bases de données qui permettent la traçabilité des données et d’attacher celles-ci au scénario présenté aux personnes concernées.

Lorsque les données n'ont pas été collectées auprès de la personne concernée, le responsable du traitement fournit à celle-ci toutes les informations ci-avant visées soit dans un délai d’un mois après avoir obtenu les données, soit, si les données doivent être utilisées aux fins de la communication avec la personne concernée, au plus tard au moment de la première communication à ladite personne.

Les droits des personnes concernées

La personne a de nombreux droits qui sont principalement ceux-là mêmes qui fondent les actions des personnes physiques dans le domaine du SEO. C’est toujours sur la base d’un droit à l’oubli ou d’un droit à ses données personnelles que les moteurs sont assignés.

Dans le cadre du GDPR, de nouveaux droits apparaissent, dont le droit à la portabilité des données. En synthèse, les droits sont :

  • (droit d’accès) le droit d'obtenir du responsable du traitement la confirmation que des données la concernant sont ou ne sont pas traitées. Si elles le sont, alors la personne a le droit d’avoir toutes les informations ci-avant visées (que nous avons appelées « notice données personnelles »). Le responsable du traitement fournit une copie (format ouvert) des données faisant l'objet d'un traitement ;
  • (droit de rectification) la rectification des données la concernant qui sont inexactes ;
  • (« droit à l’oubli ») l'effacement de données la concernant. Le responsable du traitement a l'obligation d'effacer ces données si:
    • les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d'une autre manière ; ou
    • la personne concernée retire son consentement et s’il n'existe pas d'autre fondement juridique au traitement; ou
    • la personne concernée s'oppose à un traitement de décision individuelle (droit d’opposition) ; ou
    • les données à caractère personnel ont fait l'objet d'un traitement illicite ; ou
    • en cas de respect d’une obligation légale.
      Lorsqu'il a rendu publique les données, le responsable du traitement doit informer les autres responsables du traitement qui traitent ces données que la personne concernée a demandé l'effacement par ces responsables du traitement de tout lien vers ces données, ou de toute copie ou reproduction de celles-ci.
      Ce dernier principe vise évidemment tout particulièrement les moteurs et autres agrégateurs qui vont avoir ici un terrain de bataille particulièrement compliqué. En effet, compte tenu de l’ampleur de chaque tâche, il y a fort à parier que ces acteurs trouveront de nombreux arguments pour en faire le moins possible.
  • (droit à la limitation du traitement) droit d'obtenir du responsable du traitement la limitation du traitement en cas :
    • d’inexactitude des données, au moins le temps que le responsable du traitement vérifie l'exactitude des données; ou
    • d’opposition au traitement, au moins le temps que le responsable du traitement vérifie si les motifs légitimes poursuivis par lui-même prévalent sur ceux de la personne concernée.
    • d’illicéité du traitement; ou
    • de nécessité pour la personne concernée des données pour la constatation, l'exercice ou la défense de droits en justice alors que le responsable du traitement n'en a plus besoin ; ou
  • (droit à la portabilité des données) droit de recevoir les données concernant les personnes qu'elles ont fournies à un responsable du traitement, dans un format structuré et ouvert. Ce droit va même jusqu’à la transférabilité puisqu’une personne a le droit de demander au responsable de transmettre ces données à un autre responsable du traitement pour les traitements fondés sur le consentement ou sur l’exécution d’un contrat. A ce jour, ce droit est encore un peu flou et de nombreuses interrogations subsistent. Il semble se dessiner que seules les données reçues directement de la part de la personne concernée soit visées par cette obligation et non toutes les données reçues (de toutes parts) concernant la personne.
  • (droit d’opposition) le droit de s'opposer, pour des raisons tenant à sa situation particulière, à un traitement nécessaire à l'exécution d'une mission d'intérêt public, relevant de l'exercice de l'autorité publique ou nécessaire aux fins des intérêts légitimes. Ce droit existe évidemment en cas de prospection commerciale ;
  • (droit à l’intervention humaine) droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage. Toutefois, ce droit est limité puisqu’il n’est pas possible, a priori, de réclamer une intervention humaine lorsque la décision est nécessaire à la conclusion ou à l'exécution d'un contrat entre la personne concernée et un responsable du traitement; ou est autorisée par le droit national ou a été explicitement et préalablement autorisée de la personne concernée. Exception à l’exception puisque la personne peut, malgré tout, obtenir une intervention humaine de la part du responsable du traitement, exprimer son point de vue et contester in fine la décision.

Tous ces droits, et notamment le nouveau droit à la portabilité, sont autant de contraintes pour les sociétés qui vont manipuler des données personnelles, notamment dans des démarches SEO. Il sera nécessaire désormais de mettre en place des process internes pour pouvoir répondre aux demandes des personnes, mais également des structurations des données permettant le respect de la loi.

Ces droits et obligations ont été réaffirmés dans un but de protection de la vie privée et des données personnelles des Européens. Ils sont encadrés par une responsabilité stricte des responsables de traitement qui auront à mettre en place des procédures internes importantes pour être conformes au GDPR. Cette transformation sera importante, pour tous les acteurs traitant des données personnelles, à commencer par les professionnels du SEO car les sanctions seront lourdes, allant jusqu’à 4% du CA mondial.

Au mois prochain pour la suite de nos explications concernant la nouvelle loi du GDPR...


Alexandre Diehl
Avocat à la cour, cabinet Lawint (http://www.lawint.com/)