Les moteurs de recherche doivent respecter les exigences de la directive européenne sur la protection des données personnelles de 1995, notamment celles relatives à l’information, au consentement de l’internaute sur le traitement des informations les concernant et à la durée de conservation. Dans un avis adopté le 4 avril 2007 à l’unanimité, le groupe de l’article 29 qui rassemble les Cnil des 27 Etats membres de l’Union européenne a fermement rappelé à l’ordre les moteurs de recherche.
Beaucoup d’internautes ignorent que les données issues de leurs requêtes font l’objet d’un traitement. Or l’article 10 de la directive impose à celui qui contrôle ces données une obligation d’information sur les finalités de ce traitement, les données concernées, et l’existence d’un droit d’accès et de rectification. Le G29 recommande donc aux moteurs de recherche de modifier ou de compléter leurs conditions d’utilisation afin de prendre en compte le texte communautaire. Il considère par ailleurs que ces services en ligne doivent recueillir le consentement préalable de l’internaute quand ils croisent les données personnelles qu’ils détiennent en vue d’établir leur profil.

Enfin sur la conservation des données, le G29 considère que la durée prévue par la directive du 15 mars 2006 ne s’applique pas aux moteurs de recherche. En conséquence, il estime que ce stockage, le plus court possible, doit être justifié par la finalité du traitement. Dans tous les cas, il ne devrait pas excéder six mois On est donc loin des 18 mois pratiqués par Google.

Rappelons que le groupe 29, institué par la directive de 1995, ne dispose que d’un pouvoir consultatif. Néanmoins, son avis s’appuie sur la directive européenne et représente aujourd’hui la doctrine officielle des 27 autorités de contrôle des Etats membres de l’Union européenne, chargées de veiller au respect de la protection des données personnelles au niveau national.