2000+ clients
95% de réussite
Marque INPI

Glossaire du Déréférencement et du Droit à l'Oubli

Ce glossaire réunit les définitions de référence du déréférencement, du droit à l’oubli numérique, du RGPD et de l’e-réputation. Il s’adresse aux particuliers qui souhaitent comprendre leurs droits, aux professionnels du droit et aux entreprises confrontées à des problèmes de réputation en ligne. Chaque terme est défini avec précision par Pierre Billard, fondateur de NetClearer et expert en nettoyage web depuis 2018, sur la base de son expérience auprès de plus de 2 000 clients. Ce lexique est mis à jour régulièrement pour refléter l’évolution du cadre juridique européen (RGPD, EU AI Act) et des pratiques des moteurs de recherche.

Glossaire du déréférencement et du droit à l'oubli — NetClearer

A

Analyse de sentiment

Technique d’analyse automatisée visant à déterminer si les mentions d’une personne ou d’une marque en ligne expriment une opinion positive, négative ou neutre (en anglais : “sentiment analysis”). Utilisée dans le cadre de la veille e-réputation, elle permet de quantifier l’image perçue sur les réseaux sociaux, forums et médias. Les outils d’analyse de sentiment s’appuient sur le traitement du langage naturel (NLP) et peuvent commettre des erreurs sur l’ironie ou les nuances culturelles.

Audit de réputation

Diagnostic complet de l’image en ligne d’une personne ou d’une organisation à un instant T : analyse des résultats des moteurs de recherche, des avis clients, des mentions sur les réseaux sociaux et des contenus publiés par des tiers. L’audit de réputation identifie les contenus préjudiciables, évalue leur visibilité et définit les actions prioritaires (déréférencement, suppression, référencement inversé). Il constitue le point de départ de toute stratégie de gestion de l’e-réputation.

Astroturfing

Pratique consistant à simuler une opinion publique spontanée en publiant massivement de faux avis, commentaires ou témoignages favorables ou défavorables, de manière coordonnée et dissimulée. L’astroturfing positif vise à gonfler artificiellement la réputation d’une marque ; l’astroturfing négatif (aussi appelé “review bombing”) vise à détruire celle d’un concurrent ou d’une personne. En France, il constitue une pratique commerciale trompeuse sanctionnée par le Code de la consommation (Art. L. 121-2) et peut relever de la diffamation.

AIPD — Analyse d’Impact relative à la Protection des Données (PIA)

Évaluation obligatoire prévue à l’Art. 35 du RGPD, connue en anglais sous l’acronyme PIA (Privacy Impact Assessment). Elle doit être réalisée avant tout traitement susceptible d’engendrer un risque élevé pour les droits et libertés des personnes (profilage à grande échelle, surveillance systématique, traitement de données sensibles). L’AIPD documente les risques identifiés, les mesures prises pour les atténuer et, si le risque résiduel reste élevé, impose une consultation préalable de la CNIL. Son absence constitue une violation du RGPD.

Anonymisation

Procédé irréversible rendant définitivement impossible toute ré-identification d’une personne à partir de ses données (considérant 26 du RGPD). Contrairement à la pseudonymisation, les données véritablement anonymisées échappent au champ du RGPD et peuvent être traitées librement. Les techniques reconnues incluent l’agrégation statistique, la randomisation et la généralisation. Attention : une anonymisation imparfaite — permettant une ré-identification indirecte — reste soumise au RGPD.

Art. 17 RGPD — Droit à l’effacement

Disposition du Règlement (UE) 2016/679 reconnaissant le droit de toute personne à obtenir la suppression de ses données personnelles lorsqu’elles ne sont plus nécessaires, que le consentement est retiré ou que le traitement est illicite. Ce droit n’est pas absolu : il cède face à la liberté d’expression, à l’intérêt public ou à des obligations légales.

Avis négatif

Commentaire publié sur une plateforme en ligne (Google Business Profile, Trustpilot, Pages Jaunes, Tripadvisor) portant atteinte à la réputation d’une personne ou d’une entreprise. Un avis négatif peut faire l’objet d’une demande de suppression de contenu s’il est diffamatoire, faux, publié sans expérience avérée ou contraire aux conditions d’utilisation de la plateforme. À distinguer d’un avis négatif légitime, qui relève de la liberté d’expression et ne peut être supprimé.

Art. 21 RGPD — Droit d’opposition

Droit permettant à toute personne de s’opposer au traitement de ses données fondé sur l’intérêt légitime d’un responsable de traitement. Régulièrement invoqué dans les demandes de déréférencement auprès des moteurs de recherche pour des contenus inexacts, obsolètes ou préjudiciables.

B

Blog d’attaque

Site ou blog créé dans le seul but de nuire à la réputation d’une personne, d’une entreprise ou d’une marque, en publiant des contenus négatifs, faux ou diffamatoires. Contrairement à une critique légitime, le blog d’attaque est animé par une intention de nuire et peut contenir des informations fabriquées. Sa suppression peut être obtenue via le signalement à l’hébergeur, une mise en demeure ou une action en référé. Son déréférencement auprès des moteurs de recherche est possible en parallèle.

Brandjacking

Usurpation de l’identité d’une marque ou d’une personne en ligne : création d’un faux compte sur les réseaux sociaux, enregistrement d’un nom de domaine similaire ou utilisation non autorisée d’un nom ou logo pour induire en erreur le public. Le brandjacking peut poursuivre des fins de concurrence déloyale, d’escroquerie ou simplement de nuisance. Il constitue une atteinte aux droits de la marque et peut relever de l’usurpation d’identité lorsqu’il vise une personne physique.

Bad buzz

Phénomène de propagation virale d’un contenu négatif concernant une personne ou une marque, entraînant une dégradation soudaine et massive de son image en ligne. Le bad buzz se caractérise par sa rapidité et son ampleur : un contenu peut atteindre des milliers de partages en quelques heures avant que la personne concernée puisse réagir. Sa gestion nécessite une combinaison de déréférencement, de référencement inversé et parfois de procédures judiciaires d’urgence.

Big Data

Ensemble de volumes massifs de données caractérisés par leur volume, leur vitesse de production et leur variété (règle des “3V”). Le Big Data repose sur l’agrégation de données issues de sources multiples (réseaux sociaux, objets connectés, historiques de navigation) pour en extraire des tendances. Il soulève des enjeux majeurs de protection des données personnelles au regard du RGPD, notamment sur le profilage (Art. 22) et la base légale de traitement, car des données a priori anodines peuvent, combinées, permettre une ré-identification.

Balise noindex

Instruction HTML <meta name="robots" content="noindex"> demandant aux moteurs de recherche de ne pas indexer une page. Elle n’entraîne pas de suppression immédiate : il faut attendre le prochain passage du crawler. À distinguer du déréférencement, qui agit sur les résultats sans modifier la page source.

C

Cache Google

Copie d’une page web conservée par Google lors de son dernier passage. Une page supprimée ou modifiée peut rester visible dans le cache plusieurs semaines. La suppression du cache ne remplace pas le déréférencement : la page peut continuer d’apparaître dans les résultats.

Contenu viral

Contenu numérique (article, photo, vidéo, commentaire) qui se propage massivement et rapidement sur Internet via les réseaux sociaux, le partage et le référencement, sans action promotionnelle volontaire de son auteur. Un contenu viral préjudiciable est particulièrement difficile à neutraliser car il est reproduit sur de nombreuses plateformes simultanément. Sa suppression requiert des actions combinées de retrait à la source, de déréférencement et de référencement inversé pour en limiter la visibilité.

Calomnie

Allégation mensongère portée contre une personne dans le but de nuire à sa réputation. En droit français, la calomnie n’est pas une infraction autonome distincte : elle se fond dans la notion de diffamation lorsqu’elle est publique et écrite, ou dans l’injure lorsqu’elle est outrageante sans allégation de fait. Dans le langage courant, la calomnie désigne toute affirmation fausse et malveillante. Contrairement à la diffamation, la preuve de la vérité des faits est irrecevable pour justifier une calomnie, puisque le fait allégué est par définition faux.

Compte fantoche

Faux compte créé sur les réseaux sociaux ou forums dans le but de publier des contenus trompeurs, d’amplifier une opinion de façon artificielle ou de harceler une personne tout en dissimulant l’identité réelle de son auteur (en anglais : “sock puppet”). Les comptes fantoches sont utilisés dans les campagnes d’astroturfing et de review bombing. Les plateformes les suppriment lorsqu’ils sont détectés, mais leur prolifération rend la lutte difficile.

Cyberquattage

Enregistrement frauduleux d’un nom de domaine reprenant le nom, la marque ou le pseudonyme d’une personne ou d’une organisation sans son consentement, dans le but de le revendre, de nuire à sa réputation ou de détourner son trafic (en anglais : “cybersquatting”). En France, il constitue une atteinte aux droits des marques et à la personnalité. Les victimes peuvent obtenir le transfert forcé du domaine via la procédure UDRP de l’ICANN ou par voie judiciaire.

Consentement

Base légale de traitement définie à l’Art. 7 du RGPD, consistant en une manifestation de volonté libre, spécifique, éclairée et univoque par laquelle une personne accepte que ses données personnelles soient traitées. Le consentement doit être aussi simple à retirer qu’à donner. Il ne peut pas être déduit du silence, de cases pré-cochées ou de l’inaction. Distinct des autres bases légales (intérêt légitime, obligation légale, contrat) : lorsque le consentement est la base retenue, son retrait entraîne l’obligation de cesser le traitement et, sur demande, d’effacer les données.

Cyber-harcèlement

Ensemble de comportements malveillants répétés commis via des outils numériques (réseaux sociaux, messageries, forums) dans le but de nuire, intimider ou humilier une personne. En France, infraction pénale punie jusqu’à 3 ans d’emprisonnement et 45 000 € d’amende (Art. 222-33-2-2 du Code pénal). Les contenus publiés dans un contexte de cyber-harcèlement peuvent faire l’objet d’une demande de suppression de contenu et de déréférencement auprès des moteurs de recherche.

CEPD — Comité Européen de la Protection des Données (EDPB)

Organisme européen indépendant institué par l’Art. 68 du RGPD, regroupant les autorités de protection des données de chaque État membre (dont la CNIL pour la France). Connu en anglais sous l’acronyme EDPB (European Data Protection Board). Il émet des lignes directrices, des recommandations et des avis contraignants pour assurer une application uniforme du RGPD dans l’UE. Ses décisions s’imposent à toutes les autorités nationales.

CJUE — Cour de Justice de l’Union Européenne

Juridiction suprême de l’Union européenne, dont les arrêts font référence en matière de protection des données. L’arrêt Google Spain (13 mai 2014) de la CJUE a consacré le droit à l’oubli numérique en imposant aux moteurs de recherche de déréférencer des informations inexactes ou obsolètes sur demande. Ses décisions s’appliquent à l’ensemble des États membres et complètent le RGPD.

CNIL — Commission Nationale de l’Informatique et des Libertés

Autorité administrative française chargée de contrôler le respect du RGPD. Elle peut être saisie gratuitement sur signal.cnil.fr lorsqu’une demande de déréférencement a été refusée par un moteur de recherche. Elle dispose d’un pouvoir de sanction allant jusqu’à 4 % du chiffre d’affaires mondial de l’organisme contrevenant.

Contenu diffamatoire

Contenu attribuant à une personne des faits précis de nature à nuire à sa réputation, sans preuve établie. Encadré par la loi du 29 juillet 1881. Sa suppression s’obtient par contact de l’éditeur, par déréférencement ou par voie judiciaire (référé).

Crawler (Robot d’indexation)

Programme automatisé (Googlebot, Bingbot) qui parcourt le web pour analyser et indexer les pages. La fréquence de passage du crawler conditionne les délais de prise en compte d’une balise noindex ou d’un déréférencement accordé.

D

Donnée identifiante

Donnée permettant d’identifier directement une personne physique, sans recours à des informations complémentaires : nom, prénom, adresse e-mail nominative, numéro de téléphone, photo de visage, numéro de sécurité sociale. À distinguer des données indirectement identifiantes (adresse IP, pseudonyme, cookie), qui nécessitent un croisement pour aboutir à une identification. Les deux catégories constituent des données personnelles au sens du RGPD et sont soumises aux mêmes obligations de traitement.

Droit d’accès

Droit consacré à l’Art. 15 du RGPD permettant à toute personne d’obtenir, auprès d’un responsable de traitement, la confirmation que des données la concernant sont traitées et, le cas échéant, une copie de ces données accompagnée d’informations sur leur origine, leur finalité, leur durée de conservation et les destinataires. La réponse doit intervenir dans un délai d’un mois, prorogeable à trois mois pour les demandes complexes.

Droit de rectification

Droit consacré à l’Art. 16 du RGPD permettant à toute personne d’exiger la correction de données inexactes ou incomplètes la concernant. Le responsable de traitement dispose d’un mois pour effectuer la rectification et en informer les tiers auxquels les données ont été communiquées. Complémentaire du droit à l’effacement : la rectification s’applique lorsque les données doivent être corrigées plutôt que supprimées.

Deepfake

Contenu audiovisuel généré ou altéré par intelligence artificielle pour faire dire ou faire faire à une personne ce qu’elle n’a pas dit ou fait. En France, les deepfakes à caractère sexuel constituent une infraction pénale. Leur suppression est urgente car ils se propagent rapidement sur plusieurs plateformes.

Déréférencement

Retrait d’une URL des résultats d’un moteur de recherche, sans supprimer la page source. La page continue d’exister sur le web mais n’apparaît plus dans les résultats pour les requêtes associées à la personne concernée. À distinguer de la suppression de contenu, qui vise la source elle-même.

Diffamation

Allégation ou imputation d’un fait précis portant atteinte à l’honneur ou à la considération d’une personne, encadrée par la loi du 29 juillet 1881 sur la liberté de la presse. À distinguer de l’injure, qui est une expression outrageante sans allégation de fait. La diffamation envers un particulier est punie de 12 000 € d’amende ; envers une personne publique en raison de ses fonctions, les peines sont aggravées. La preuve de la vérité du fait diffamatoire constitue un fait justificatif exonératoire (“exceptio veritatis”).

Désindexation

Synonyme technique de déréférencement : opération par laquelle un moteur de recherche retire une URL de son index. Obtenue via une demande de déréférencement, une balise noindex ou une entrée dans le fichier robots.txt.

Données personnelles

Toute information permettant d’identifier directement ou indirectement une personne physique : nom, adresse e-mail, adresse IP, photo, numéro de téléphone, données de localisation. Le traitement de données personnelles est encadré par le RGPD dans l’Union européenne.

Données sensibles

Catégorie particulière de données bénéficiant d’une protection renforcée (Art. 9 RGPD) : origines ethniques, opinions politiques, données de santé, biométriques ou relatives à la vie sexuelle. Leur traitement est en principe interdit, sauf exceptions strictement définies.

DPO — Délégué à la Protection des Données

Responsable désigné au sein d’un organisme pour veiller au respect du RGPD. C’est l’interlocuteur à contacter pour exercer ses droits (accès, effacement, opposition). Obligatoire pour les autorités publiques et les organismes traitant des données sensibles à grande échelle.

Doxing

Pratique malveillante consistant à collecter et publier des informations personnelles (adresse, téléphone, lieu de travail) sur une personne sans son consentement, dans le but de nuire ou d’intimider. Constitue une violation caractérisée du RGPD et peut relever du droit pénal.

Droit à l’image

Droit de toute personne à contrôler l’utilisation de son image, fondé sur l’Art. 9 du Code civil relatif au respect de la vie privée. Toute reproduction ou diffusion d’une photo ou vidéo identifiable d’une personne sans son consentement exprès constitue une atteinte à ce droit, indépendamment du RGPD. Les victimes peuvent obtenir en référé le retrait immédiat du contenu et des dommages-intérêts. Ce droit s’applique même à des images prises dans un lieu public dès lors que la personne est isolée ou identifiable.

Droit à la vie privée

Droit fondamental consacré à l’Art. 8 de la Convention Européenne des Droits de l’Homme et à l’Art. 9 du Code civil français, garantissant à toute personne le respect de sa vie privée, familiale, de son domicile et de sa correspondance. Il constitue le fondement juridique principal des demandes de déréférencement et de suppression de contenu. Ce droit doit être mis en balance avec la liberté d’expression et d’information, dans le cadre d’un contrôle de proportionnalité effectué au cas par cas.

Droit de réponse

Droit légal permettant à toute personne nommée ou désignée dans un écrit de presse ou un contenu en ligne d’exiger la publication d’une réponse, dans des conditions prévues par la loi du 29 juillet 1881 et la loi pour la Confiance dans l’Économie Numérique (LCEN). Le directeur de publication dispose de 3 jours pour publier la réponse sur un support numérique. Le droit de réponse ne remplace pas la demande de retrait ou le déréférencement, mais constitue un recours complémentaire pour rétablir les faits.

Droit à l’oubli numérique

Droit consacré par la Cour de Justice de l’Union européenne (arrêt Google Spain, 13 mai 2014), permettant à toute personne de demander la suppression de ses données personnelles des résultats de recherche. Formalisé à l’article 17 du RGPD, il s’applique lorsque les données sont inexactes, obsolètes ou leur traitement illicite.

E

Écoute sociale

Surveillance et analyse en temps réel de tout ce qui est publié en ligne à propos d’une personne, d’une marque ou d’un sujet sur les réseaux sociaux, forums, blogs et médias (en anglais : “social listening”). Contrairement à la simple veille e-réputation qui détecte les mentions, l’écoute sociale inclut une dimension analytique : identification des tendances, des communautés influentes et des signaux faibles précurseurs d’un bad buzz. Elle s’effectue via des outils spécialisés (Mention, Brandwatch, Talkwalker).

E-réputation

Image numérique d’une personne ou d’une organisation, résultant de l’ensemble des contenus la concernant en ligne : résultats de recherche, réseaux sociaux, avis clients, articles. Une e-réputation négative peut avoir des conséquences professionnelles et personnelles graves et durables.

Empreinte numérique

Ensemble des données laissées par une personne sur Internet, volontairement (publications, inscriptions) ou involontairement (cookies, traceurs, données collectées par des tiers). Sa réduction passe par la suppression de comptes, l’effacement de données et le déréférencement des contenus associés.

G

Gestion de crise e-réputation

Ensemble des actions mises en œuvre pour limiter l’impact d’un événement négatif sur l’image en ligne d’une personne ou d’une organisation : bad buzz, violation de données, scandale médiatique ou campagne de dénigrement. Elle comprend une phase de détection rapide (via l’écoute sociale), une phase de réponse (communication de crise, prises de position publiques) et une phase de nettoyage (déréférencement, suppression de contenus, référencement inversé). La rapidité de réaction est déterminante : chaque heure de silence amplifie la propagation du contenu négatif.

Ghosting numérique

Démarche volontaire consistant à effacer ou réduire significativement sa présence en ligne : suppression de comptes sur les réseaux sociaux, demandes d’effacement RGPD, déréférencement des contenus associés à son nom et retrait des annuaires en ligne. Motivé par des raisons de sécurité personnelle, de protection de la vie privée ou de reconversion professionnelle. À distinguer du droit à l’oubli, qui est un droit légal opposable aux moteurs de recherche : le ghosting numérique est une démarche globale et proactive de réduction de l’empreinte numérique.

I

Injure

Expression outrageante, termes de mépris ou invective adressée à une personne sans allégation d’un fait précis, encadrée par la loi du 29 juillet 1881. À distinguer de la diffamation, qui implique l’imputation d’un fait déterminé. L’injure publique envers un particulier est punie de 12 000 € d’amende. Publiée en ligne, elle peut faire l’objet d’une demande de retrait auprès de la plateforme et d’un signalement aux autorités. Le délai de prescription est de 3 mois à compter de la publication.

Influenceur

Personne disposant d’une audience significative sur les réseaux sociaux ou les médias en ligne et dont les publications ont un impact mesurable sur l’opinion, les comportements d’achat ou la réputation des sujets qu’elle évoque. Un influenceur peut, volontairement ou non, contribuer à la propagation d’un contenu viral positif ou négatif. En matière d’e-réputation, une mention négative par un influenceur à forte audience peut déclencher un bad buzz ou amplifier une crise. En France, les influenceurs sont encadrés par la loi du 9 juin 2023 sur la transparence des contenus sponsorisés.

Information dépersonnalisée

Information dont les éléments directement identifiants (nom, prénom, coordonnées) ont été retirés ou masqués, sans pour autant garantir l’impossibilité totale de ré-identification. Terme courant dans le domaine médical et statistique, souvent utilisé comme synonyme approximatif de pseudonymisation. Si une ré-identification reste possible par croisement avec d’autres données, l’information dépersonnalisée reste une donnée personnelle au sens du RGPD et n’échappe pas à ses obligations. Seule l’anonymisation complète exclut les données du champ réglementaire.

Identité numérique

Représentation d’une personne sur Internet, constituée de l’ensemble des informations disponibles à son sujet. Elle peut être construite par des tiers (presse, forums, réseaux sociaux) et ne pas correspondre à la réalité. La maîtriser est l’un des objectifs principaux du nettoyage web.

Index (moteur de recherche)

Base de données constituée par un moteur de recherche à partir de l’analyse des pages web. Une URL déréférencée est retirée de l’index pour les requêtes associées mais reste accessible directement. Chaque moteur (Google, Bing, Qwant) dispose de son propre index : le déréférencement doit être demandé séparément.

Intérêt légitime

Base légale permettant à un responsable de traitement de traiter des données sans consentement explicite, à condition que cet intérêt soit proportionné et ne prime pas sur les droits fondamentaux de la personne. Les moteurs de recherche s’en prévalent pour justifier le maintien de certaines URLs. Le déréférencement vise à renverser cette balance au profit du droit à la vie privée.

M

Mandataire RGPD

Personne physique ou morale autorisée à effectuer des démarches RGPD (demande d’effacement, d’opposition, de déréférencement) au nom et pour le compte d’un tiers, sur présentation d’un mandat écrit. NetClearer intervient en qualité de mandataire pour ses clients.

Mise en demeure

Acte formel sommant un tiers de cesser un comportement illicite (maintien de données, contenu préjudiciable) dans un délai imparti, sous peine de poursuites. Précède généralement une action en référé et constitue souvent un accélérateur dans les demandes de suppression de contenu.

N

Nettoyage web

Ensemble des opérations techniques et juridiques visant à supprimer, déréférencer ou masquer des contenus préjudiciables en ligne : données personnelles, photos, vidéos, avis négatifs, articles de presse. Combinaison de démarches RGPD, de contact des éditeurs et, si nécessaire, d’actions juridiques.

Nettoyeur du web

Expert spécialisé dans le nettoyage web et la gestion de l’e-réputation. Il intervient en tant que mandataire pour ses clients, en combinant expertise juridique (RGPD, droit à l’oubli), technique (déréférencement) et éditoriale (création de contenu positif).

O

Open Data

Données mises à disposition du public en libre accès par des organismes publics ou privés (administrations, collectivités, institutions). Si les données open data contiennent des informations personnelles — nom d’un élu, adresse d’un contribuable — le RGPD s’applique malgré leur caractère public. Le fait qu’une donnée soit librement accessible en ligne ne constitue pas une base légale suffisante pour tout traitement, ni un obstacle à une demande de déréférencement si sa diffusion porte atteinte à la vie privée.

P

Personal branding (image personnelle en ligne)

Démarche stratégique consistant à construire, développer et maîtriser son image personnelle sur Internet : création de contenus positifs, optimisation de profils professionnels (LinkedIn, site personnel), publication d’articles de référence. Le personal branding est l’approche préventive complémentaire au référencement inversé : là où ce dernier neutralise les contenus négatifs existants, le personal branding construit proactivement une présence positive difficile à déloger dans les résultats de recherche.

Portabilité des données

Droit consacré à l’Art. 20 du RGPD (en anglais : “right to data portability”) permettant à toute personne de récupérer ses données personnelles dans un format structuré, couramment utilisé et lisible par machine, et de les transmettre à un autre responsable de traitement. Ce droit s’applique uniquement aux données fournies par la personne elle-même, traitées sur la base du consentement ou d’un contrat, et par des moyens automatisés.

Privacy by Default

Principe consacré à l’Art. 25(2) du RGPD imposant que les paramètres de confidentialité les plus protecteurs soient activés par défaut, sans action requise de l’utilisateur. Concrètement : seules les données strictement nécessaires à la finalité du traitement doivent être collectées par défaut ; les options de partage étendu doivent être opt-in et non opt-out. À distinguer du Privacy by Design, qui concerne la phase de conception du système. Les deux principes sont complémentaires et s’appliquent conjointement au titre de l’Art. 25 RGPD.

Privacy by Design

Principe de protection des données dès la conception, consacré à l’Art. 25 du RGPD sous l’appellation “protection des données par défaut et dès la conception”. Il impose aux responsables de traitement d’intégrer les exigences de protection des données personnelles dès la phase de conception d’un produit, service ou système — et non a posteriori. Concrètement : minimisation des données collectées, pseudonymisation par défaut, accès restreint dès le départ. Complémentaire du Privacy by Default, qui impose que les paramètres les plus protecteurs soient activés par défaut sans action de l’utilisateur.

Profilage

Traitement automatisé de données personnelles visant à évaluer, prédire ou analyser certains aspects d’une personne physique : comportement en ligne, solvabilité, santé, préférences, localisation, fiabilité ou performance professionnelle. L’Art. 22 du RGPD accorde le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé (y compris le profilage) produisant des effets juridiques ou affectant significativement la personne. Ce droit peut s’exercer directement auprès du responsable de traitement.

Pseudonymisation

Procédé technique défini à l’Art. 4(5) du RGPD, consistant à remplacer des données directement identifiantes (nom, adresse e-mail, numéro de téléphone) par un identifiant artificiel (pseudonyme, hash, token) de sorte que les données ne puissent plus être attribuées à une personne sans recours à des informations supplémentaires conservées séparément. À distinguer impérativement de l’anonymisation, qui est irréversible et exclut les données du champ du RGPD. Les données pseudonymisées restent des données personnelles : leur traitement est toujours soumis au RGPD. La pseudonymisation constitue une mesure de sécurité recommandée (Art. 25 et 32 RGPD), pas une exemption à ses obligations.

R

Review bombing

Campagne organisée visant à inonder une personne, une entreprise ou une œuvre de commentaires négatifs massifs et coordonnés sur les plateformes d’avis (Google, Trustpilot, App Store). Souvent motivée par des raisons idéologiques, une controverse ou une concurrence déloyale, sans lien avec une expérience réelle du service. Il constitue une forme d’astroturfing et peut relever de la concurrence déloyale ou de la diffamation. Les plateformes disposent de mécanismes de détection et de suppression des avis manifestement frauduleux.

Registre des traitements

Document interne obligatoire prévu à l’Art. 30 du RGPD, tenu par le responsable de traitement et, le cas échéant, par le sous-traitant. Il recense l’ensemble des activités de traitement de données personnelles réalisées par l’organisme : finalités, catégories de données, destinataires, durées de conservation et mesures de sécurité. Il doit être mis à disposition de la CNIL sur demande. Les organismes de moins de 250 salariés ne sont tenus de documenter que les traitements à risque élevé ou portant sur des données sensibles.

Référencement inversé

Technique de gestion de l’e-réputation consistant à créer et optimiser des contenus positifs (articles, profils, pages officielles) pour les faire apparaître en tête des résultats de recherche et reléguer les contenus préjudiciables aux pages suivantes. Aussi appelé “contre-référencement” ou “push down”. Complémentaire au déréférencement : l’un masque les résultats négatifs dans les moteurs, l’autre les noie sous des résultats positifs.

Responsable de traitement

Personne ou organisme qui détermine les finalités et les moyens d’un traitement de données personnelles. C’est le destinataire principal des demandes RGPD. Google est responsable de traitement pour les URLs qui composent ses résultats de recherche.

Revenge porn

Diffusion non consentie de contenus intimes (photos ou vidéos à caractère sexuel) impliquant une personne identifiable. En France, infraction pénale punie de 2 ans d’emprisonnement et 60 000 € d’amende (Art. 226-2-1 du Code pénal). Les victimes peuvent signaler le contenu à l’ARCOM et demander le déréférencement des URLs.

RGPD — Règlement Général sur la Protection des Données

Règlement (UE) 2016/679, applicable depuis le 25 mai 2018, encadrant le traitement des données personnelles dans l’Union européenne. Il confère aux individus des droits d’accès (Art. 15), de rectification (Art. 16), d’effacement (Art. 17) et d’opposition (Art. 21). Les violations sont sanctionnées jusqu’à 4 % du chiffre d’affaires mondial.

Robots.txt

Fichier placé à la racine d’un site indiquant aux crawlers les sections à ne pas explorer. Ne garantit pas le déréférencement (une URL déjà indexée reste dans les résultats) et ne protège pas les données contre les robots malveillants qui l’ignorent.

S

Scraping

Technique d’extraction automatisée de données depuis des sites web à l’aide de programmes informatiques (bots ou scripts), sans recours à l’API officielle du site (en anglais : “web scraping”). Lorsque les données extraites sont des données personnelles, le scraping constitue un traitement au sens du RGPD et doit reposer sur une base légale. Le scraping massif de données personnelles sans consentement peut constituer une violation du RGPD et engager la responsabilité de son auteur. Il est également susceptible de violer les conditions d’utilisation des plateformes concernées.

Sous-traitant

Personne physique ou morale qui traite des données personnelles pour le compte et sur instruction d’un responsable de traitement, dans le cadre d’un contrat écrit conforme à l’Art. 28 du RGPD (en anglais : “data processor”). Le sous-traitant ne peut traiter les données qu’aux fins définies par le responsable et doit offrir des garanties suffisantes quant aux mesures techniques et organisationnelles mises en place. Il engage sa responsabilité propre en cas de violation du RGPD ou de dépassement des instructions reçues.

SERP — Search Engine Results Page

Page de résultats affichée par un moteur de recherche en réponse à une requête. Le déréférencement vise à retirer une URL des SERP associées au nom d’une personne. Un résultat déréférencé disparaît des SERP mais reste accessible via son URL directe.

Signalement CNIL

Procédure de recours disponible après un refus de déréférencement ou une violation de droits RGPD, déposée sur signal.cnil.fr. La CNIL instruit la plainte et peut mettre en demeure l’organisme contrevenant ou prononcer une sanction administrative.

Suppression de contenu

Action visant à faire retirer un contenu de son site d’hébergement (article, photo, commentaire, profil). À distinguer du déréférencement : la suppression efface la source, tandis que le déréférencement retire uniquement la visibilité dans les moteurs de recherche.

T

Transfert hors UE

Toute communication de données personnelles vers un pays situé en dehors de l’Espace Économique Européen (EEE), encadrée par les Art. 44 à 49 du RGPD (en anglais : “international data transfer”). Un tel transfert n’est autorisé que si le pays destinataire bénéficie d’une décision d’adéquation de la Commission européenne, ou si des garanties appropriées sont mises en place — principalement les Clauses Contractuelles Types (CCT). L’invalidation du Privacy Shield américain par la CJUE (arrêt Schrems II, 2020) a renforcé les exigences d’analyse au cas par cas pour les transferts vers les États-Unis.

Troll

Internaute publiant délibérément des messages provocateurs, agressifs ou hors sujet dans le but de perturber une conversation en ligne, de susciter des réactions émotionnelles ou de nuire à une personne (en anglais : “troll”). Le trolling peut prendre la forme d’insultes, de fausses accusations ou de harcèlement répété. Lorsqu’il cible une personne identifiable de façon répétée, il peut être qualifié de cyber-harcèlement et engager la responsabilité pénale de son auteur. La plupart des plateformes disposent de mécanismes de signalement et de blocage.

Traitement de données

Toute opération effectuée sur des données personnelles : collecte, conservation, consultation, modification, communication ou suppression. Tout traitement doit reposer sur une base légale (consentement, contrat, obligation légale, intérêt légitime) et respecter les principes du RGPD.

U

Usurpation d’identité

Acte consistant à utiliser frauduleusement les données d’identité d’une autre personne (nom, photo, coordonnées, numéro de carte bancaire) à son insu et sans son consentement. En France, délit pénal puni de un an d’emprisonnement et 15 000 € d’amende (Art. 226-4-1 du Code pénal), porté à 3 ans et 45 000 € lorsqu’il est commis sur un réseau de communication électronique. Les victimes peuvent demander la suppression des contenus usurpant leur identité et le déréférencement des URLs associées.

V

Veille e-réputation

Surveillance régulière et systématique de ce qui est publié en ligne à propos d’une personne ou d’une organisation : résultats de recherche, réseaux sociaux, forums, médias, avis clients. Elle permet de détecter rapidement un contenu préjudiciable et d’agir avant qu’il ne se propage (voir contenu viral et bad buzz). Elle s’effectue via des outils d’alertes (Google Alerts, mention.com) ou par un prestataire spécialisé. La veille e-réputation est la première étape de toute stratégie de protection de l’image en ligne.

Violation de données

Incident de sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé à des données personnelles. Défini à l’Art. 4(12) du RGPD (en anglais : “data breach”). Toute violation doit être notifiée à la CNIL dans un délai de 72 heures (Art. 33 RGPD). Si elle est susceptible d’engendrer un risque élevé pour les personnes concernées, celles-ci doivent également en être informées sans délai (Art. 34 RGPD).

Notre service de
déréférencement Google

Action rapide
Experts en nettoyage web
Expert déréférencement GoogleÉtoile
4.8 / 5
+1000 avis de Clients satisfaits