Le moteur de recherche français Qwant a été épinglé par CNIL. Les données qu'il transmettait à Microsoft n'étaient un temps pas anonymes comme affirmé, mais seulement pseudonymisées.
La Commission nationale de l'informatique et des libertés (CNIL) a communiqué, mardi 11 février 2025, sa décision concernant les pratiques de Qwant en matière de traitement des données personnelles. Faisant suite à une plainte déposée en 2019, l'autorité administrative a fait le choix de rappeler à l'ordre le moteur de recherche made in France qui, depuis son lancement en 2013, martelait ne collecter aucune donnée personnelle lors des recherches de ses utilisateurs, notamment dans le cadre de son partenariat publicitaire avec Microsoft.
Qwant, couplable d'une confusion entre anonymisation et pseudonymisation des données de ses utilisateurs
Après avoir subi deux contrôles approfondis en 2019, la CNIL a constaté que les données techniques transmises par Qwant à Microsoft, notamment les adresses IP tronquées ou hachées, ne pouvaient pas être considérées comme totalement anonymes. Cette transmission servait pourtant à des fins légitimes, citons notamment l'affichage de publicités contextuelles liées aux recherches, le comptage des affichages publicitaires, et l'amélioration des résultats de recherche.
Le problème ne réside en fait pas tant dans l'utilisation des données que dans leur qualification juridique. La politique de confidentialité de Qwant indiquait que les requêtes étaient « immédiatement anonymisées », alors qu'il s'agissait en réalité d'une pseudonymisation, un niveau de protection différent qui nécessite le respect des obligations du RGPD, le règlement européen sur la protection des données.
Cette confusion a aussi eu des répercussions sur la transparence de l'entreprise. Qwant, qui ne considérait pas que la réglementation sur les données personnelles s'appliquait, n'avait pas mentionné la finalité publicitaire de la transmission à Microsoft, ni sa base légale, et c'était du point de vue de la CNIL, une erreur. De plus, jusqu'en février 2020, les versions italienne et allemande de la politique de confidentialité différaient des versions française et anglaise.
La CNIL a été sensible au bon comportement de Qwant
En ce qui concerne la procédure et l'éventuelle sanction, la CNIL a préféré opter pour un simple rappel aux obligations légales, plutôt qu'une amende. L'autorité a en effet reconnu plusieurs éléments en faveur de Qwant. D'abord, l'entreprise a déployé de nombreuses mesures techniques pour protéger la vie privée des utilisateurs et a privilégié la publicité contextuelle, réputée moins intrusive que la publicité comportementale, en ce qu'elle ne nécessite pas de suivi dans le temps.
Et dès octobre 2020, suite aux échanges avec la CNIL, Qwant avait rapidement mis à jour sa politique de confidentialité. L'entreprise a clarifié la nature « pseudonyme » des données transmises à Microsoft et explicité la base légale, ainsi que la finalité publicitaire de ce traitement. Les versions en langues étrangères ont également été harmonisées.
La présidente de la CNIL, Marie-Laure Denis, a souligné qu'il s'agissait d'une erreur d'analyse initiale sur la qualification des données, sans intention de la part de Qwant de se soustraire au RGPD. La coopération de l'entreprise tout au long de la procédure et sa volonté manifeste de protéger la vie privée des utilisateurs ont donc été des facteurs déterminants dans cette décision finalement clémente.
