🔴 Soldes d'été : jusqu'à - 50% sur le high-tech 🔴 Soldes d'été : jusqu'à - 50% sur le high-tech

RGPD : InterHop saisit la CNIL pour que les acteurs e-santé (Alan, Keldoc, Maiia…) arrêtent d’utiliser Google Analytics

31 janvier 2022 à 10h40
2
Google Analytics

L'association InterHop, spécialisée dans le logiciel libre, peste contre le traitement des données collectées par la solution Google Analytics, hébergée aux États-Unis.

Assiste-t-on à une levée de boucliers contre la solution de mesure d'audience de sites internet Google Analytics en Europe ? InterHop se veut être la représentante française du mouvement. L'association française, qui développe et propose des logiciels libres et open source pour la santé, annonce avoir saisi la Commission nationale de l'informatique et des libertés (CNIL), afin de faire « stopper les traitements qui s'avèreraient illégaux ». Ici, elle vise notamment Google, qui héberge les données des acteurs de la e-santé issues de sa solution Analytics directement aux États-Unis.

Une jurisprudence bien moins favorable au transfert des données hors UE

Le 13 janvier 2022, la Datenschutzbehörde, la CNIL autrichienne, a rendu une décision dans laquelle elle se prononce contre la légalité de l'utilisation de Google Analytics, qui selon elle ne serait pas conforme au RGPD. Certaines entreprises ont donc dans la foulée annoncé interdire, en interne, l'utilisation de l'outil de la firme de Mountain View.

Cette décision fait écho à d'autres événements récents, avec en premier lieu, le fameux arrêt Schrems II , rendu le 16 juillet 2020 et par lequel la Cour de justice de l'Union européenne (CJUE) est venue invalider un précédent accord, le Privacy Shield, qui permettait le transfert de données à caractère personnel vers un pays hors Union européenne, ici les États-Unis. Autrement dit : le transfert de données personnelles vers les USA n'est plus qualifié comme sûr. Deux textes américains sont dans le viseur des autorités européennes et de la CNIL française : le Foreign Intelligence Surveillance Act (FISA), qui permet de cibler des personnes situées en dehors des États-Unis et l'Executive Order, qui vient légaliser les techniques d'interception de signaux en provenance ou vers les USA. Une ingérence dénoncée par les militants de la protection des données. Microsoft est par exemple soumis aux demandes de l'État américain, qui peut l'obliger à transférer des données qu'il héberge à tout moment, notamment lorsque des raisons de sécurité sont invoquées.

La décision prise par la CNIL autrichienne il y a quelques jours pointe du doigt Google (sans toutefois condamner l'entreprise), qui a avoué héberger (donc stocker puis traiter ultérieurement) toutes les données collectées par Analytics aux États-Unis. Pour le célèbre militant de la protection des données, Max Schrems, cela est illégal, contraire au RGPD. Le président de noyb.eu reproche à de nombreuses entreprises européennes d'avoir suivi le mouvement, plutôt que de se tourner vers des options légales. Il n'en fallait évidemment pas plus pour faire réagir d'autres associations.

Plusieurs acteurs français de la e-santé pointés du doigt par InterHop pour leur utilisation d'Analytics

InterHop, qui s'en tient au domaine de la santé, indique que de nombreuses entreprises de e-santé françaises utilisent le service Google Analytics. Elle cite notamment Maiia, KelDoc, HelloCare, Alan, Recare, Qare, Medadom, Implicity, Therapixel. L'association soutient que Recare mentionne même, sur son site internet, que des données peuvent être « traitées en dehors de l'EEE, notamment aux États-Unis d'Amérique. Nous avons conclu des clauses contractuelles types de l'UE avec le fournisseur de services afin de garantir un niveau adéquat de protection des données ».

L'association InterHop affirme que les acteurs du monde de la e-santé « doivent s’assurer de leur absence de soumission, totale ou partielle, à des injonctions de juridictions ou autorités administratives tierces les obligeant à leur transférer des données ». Elle a à ce titre saisi la CNIL.

Rappelant d'abord que les données de santé sont des « données sensibles », InterHop demande à la CNIL de stopper les traitements qui se révéleraient illégaux, en analysant les conséquences de l'arrêt Schrems II sur l'utilisation de Google Analytics concernant les acteurs de la e-santé.

L’épidémie de Covid-19 a fait entrer la télémédecine dans le quotidien des français. Avant le confinement, les téléconsultations étaient limitées à quelques milliers par semaine sur tout le territoire - elles étaient de plusieurs millions pendant la crise. 
Lire la suite

Sources : InterHop , noyb

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
2
3
Stefanp
Bravo InterHop, c’est bien de se réveiller en 2022… On ne vous a pas beaucoup entendu en 2020 (mais les autres non plus) lorsque les données médicales des Français transitant par les services des urgences se sont retrouvées hébergées chez Microsoft aux USA (le Health Data Hub). Et accessoirement, Google Analytics traite essentiellement d’adresses IPs, anonymisées lorsque c’est bien paramétré. dans le cadre du HDH, il s’agit de dossiers médicaux complets. Et vu que la CNIL a donné 2 ans au Ministre de la Santé pour trouver une autre solution, y’a le temps… C’est drôle, parce que les entreprises qui n’ont pas un bandeau à cookies conforme disposent en général de 3 mois pour rectifier le tir : comme quoi, un bandeau à cookies dont tout le monde se fout paraît vachement plus important et urgent que des vraies données médicales… En même temps, vu que le secret médical est un droit qui a disparu avec l’arrivée des « pass », bonne idée, essayons de combler la dette étatique en grattant un peu de thunes à Google, sur un malentendu, ça peut marcher
Bleadit
Pardon mais qui conseille cette association ? Un avocat ou juriste a vraiment passé du temps à écrire cette requête ?<br /> Il n’y a aucun lien entre Google Analytics, solution de mesure d’audience pour site web, et les traitements de données de santé.<br /> Comment perdre toute crédibilité.
Mireilledu13
Le problème avec les solutions open source alternatives telles que Matomo, c’est qu’elles sont trop lourdes sans pour autant fournir un service équivalent à celui de Google.<br /> La CNIL a listée des solutions 100% conformes au RGPD . En appliquant les guides de configuration (obligatoires pour bénéficier de l’exemption de consentement) on se retrouve avec des usines à gaz qui vous fournissent des mesures simples. C’est comme acheter une ferrari pour ensuite rouler sur le périphérique à 80 km : cher, inutile et lourd ! A part pour des solutions simples de mesure d’audience comme Abla Analytics, l’intérêt est relatif.<br /> Le marketing est important surtout pour des sites ecommerce, et restreindre l’accès à certaines données risque de rendre nos acteurs européens en position de faiblesse au regard des concurrents mondiaux.<br /> Pour les solutions de santé imposer le retrait de GA c’est peut-être légitime mais uniquement sur les BO, là où il peut y avoir des données sensibles. Sur les sites institutionnels c’est peut être moins approprié.
Voir tous les messages sur le forum

Lectures liées

Soldes NordVPN : cette offre sur ce VPN est tout simplement incroyable !
Piratage : finalement le service de gestion de flux Xstream-Codes est déclaré « légal »
CyberGhost : le meilleur VPN du marché fracasse les soldes d'été !
VPN pas cher : CyberGhost, NordVPN et Surfshark sont à prix vraiment MINI !
Google alerte sur un nouveau logiciel espion, votre smartphone est-il infecté ?
Safari : cette faille vieille de 5 ans permettait à des hackers d'infecter vos appareils Apple
Pendant les soldes, profitez d'un prix fou sur le VPN de CyberGhost
Le chiffrement du Cloud MEGA mis à mal par des chercheurs
Le spyware Pegasus a été utilisé dans au moins 5 pays de l'UE
Pour les soldes d'été, NordVPN baisse le prix de son VPN, mais pas que !
Haut de page