RGPD : InterHop saisit la CNIL pour que les acteurs e-santé (Alan, Keldoc, Maiia…) arrêtent d’utiliser Google Analytics

Alexandre Boero
Par Alexandre Boero, Journaliste-reporter, chargé de l'actu.
Publié le 31 janvier 2022 à 10h40
Google Analytics

L'association InterHop, spécialisée dans le logiciel libre, peste contre le traitement des données collectées par la solution Google Analytics, hébergée aux États-Unis.

Assiste-t-on à une levée de boucliers contre la solution de mesure d'audience de sites internet Google Analytics en Europe ? InterHop se veut être la représentante française du mouvement. L'association française, qui développe et propose des logiciels libres et open source pour la santé, annonce avoir saisi la Commission nationale de l'informatique et des libertés (CNIL), afin de faire « stopper les traitements qui s'avèreraient illégaux ». Ici, elle vise notamment Google, qui héberge les données des acteurs de la e-santé issues de sa solution Analytics directement aux États-Unis.

Une jurisprudence bien moins favorable au transfert des données hors UE

Le 13 janvier 2022, la Datenschutzbehörde, la CNIL autrichienne, a rendu une décision dans laquelle elle se prononce contre la légalité de l'utilisation de Google Analytics, qui selon elle ne serait pas conforme au RGPD. Certaines entreprises ont donc dans la foulée annoncé interdire, en interne, l'utilisation de l'outil de la firme de Mountain View.

Cette décision fait écho à d'autres événements récents, avec en premier lieu, le fameux arrêt Schrems II, rendu le 16 juillet 2020 et par lequel la Cour de justice de l'Union européenne (CJUE) est venue invalider un précédent accord, le Privacy Shield, qui permettait le transfert de données à caractère personnel vers un pays hors Union européenne, ici les États-Unis. Autrement dit : le transfert de données personnelles vers les USA n'est plus qualifié comme sûr. Deux textes américains sont dans le viseur des autorités européennes et de la CNIL française : le Foreign Intelligence Surveillance Act (FISA), qui permet de cibler des personnes situées en dehors des États-Unis et l'Executive Order, qui vient légaliser les techniques d'interception de signaux en provenance ou vers les USA. Une ingérence dénoncée par les militants de la protection des données. Microsoft est par exemple soumis aux demandes de l'État américain, qui peut l'obliger à transférer des données qu'il héberge à tout moment, notamment lorsque des raisons de sécurité sont invoquées.

La décision prise par la CNIL autrichienne il y a quelques jours pointe du doigt Google (sans toutefois condamner l'entreprise), qui a avoué héberger (donc stocker puis traiter ultérieurement) toutes les données collectées par Analytics aux États-Unis. Pour le célèbre militant de la protection des données, Max Schrems, cela est illégal, contraire au RGPD. Le président de noyb.eu reproche à de nombreuses entreprises européennes d'avoir suivi le mouvement, plutôt que de se tourner vers des options légales. Il n'en fallait évidemment pas plus pour faire réagir d'autres associations.

Plusieurs acteurs français de la e-santé pointés du doigt par InterHop pour leur utilisation d'Analytics

InterHop, qui s'en tient au domaine de la santé, indique que de nombreuses entreprises de e-santé françaises utilisent le service Google Analytics. Elle cite notamment Maiia, KelDoc, HelloCare, Alan, Recare, Qare, Medadom, Implicity, Therapixel. L'association soutient que Recare mentionne même, sur son site internet, que des données peuvent être « traitées en dehors de l'EEE, notamment aux États-Unis d'Amérique. Nous avons conclu des clauses contractuelles types de l'UE avec le fournisseur de services afin de garantir un niveau adéquat de protection des données ».

L'association InterHop affirme que les acteurs du monde de la e-santé « doivent s’assurer de leur absence de soumission, totale ou partielle, à des injonctions de juridictions ou autorités administratives tierces les obligeant à leur transférer des données ». Elle a à ce titre saisi la CNIL.

Rappelant d'abord que les données de santé sont des « données sensibles », InterHop demande à la CNIL de stopper les traitements qui se révéleraient illégaux, en analysant les conséquences de l'arrêt Schrems II sur l'utilisation de Google Analytics concernant les acteurs de la e-santé.

Sources : InterHop, noyb

Alexandre Boero
Par Alexandre Boero
Journaliste-reporter, chargé de l'actu

Journaliste, chargé de l'actualité de Clubic. En soutien direct du rédacteur en chef, je suis aussi le reporter et le vidéaste de la bande. Journaliste de formation, j'ai fait mes gammes à l'EJCAM, école reconnue par la profession, où j'ai bouclé mon Master avec une mention « Bien » et un mémoire sur les médias en poche.

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

A découvrir en vidéo

Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Commentaires (3)
Stefanp

Bravo InterHop, c’est bien de se réveiller en 2022… On ne vous a pas beaucoup entendu en 2020 (mais les autres non plus) lorsque les données médicales des Français transitant par les services des urgences se sont retrouvées hébergées chez Microsoft aux USA (le Health Data Hub). Et accessoirement, Google Analytics traite essentiellement d’adresses IPs, anonymisées lorsque c’est bien paramétré. dans le cadre du HDH, il s’agit de dossiers médicaux complets. Et vu que la CNIL a donné 2 ans au Ministre de la Santé pour trouver une autre solution, y’a le temps… C’est drôle, parce que les entreprises qui n’ont pas un bandeau à cookies conforme disposent en général de 3 mois pour rectifier le tir : comme quoi, un bandeau à cookies dont tout le monde se fout paraît vachement plus important et urgent que des vraies données médicales… En même temps, vu que le secret médical est un droit qui a disparu avec l’arrivée des « pass », bonne idée, essayons de combler la dette étatique en grattant un peu de thunes à Google, sur un malentendu, ça peut marcher

Bleadit

Pardon mais qui conseille cette association ? Un avocat ou juriste a vraiment passé du temps à écrire cette requête ?
Il n’y a aucun lien entre Google Analytics, solution de mesure d’audience pour site web, et les traitements de données de santé.
Comment perdre toute crédibilité.

Mireilledu13

Le problème avec les solutions open source alternatives telles que Matomo, c’est qu’elles sont trop lourdes sans pour autant fournir un service équivalent à celui de Google.

La CNIL a listée des solutions 100% conformes au RGPD . En appliquant les guides de configuration (obligatoires pour bénéficier de l’exemption de consentement) on se retrouve avec des usines à gaz qui vous fournissent des mesures simples. C’est comme acheter une ferrari pour ensuite rouler sur le périphérique à 80 km : cher, inutile et lourd ! A part pour des solutions simples de mesure d’audience comme Abla Analytics, l’intérêt est relatif.

Le marketing est important surtout pour des sites ecommerce, et restreindre l’accès à certaines données risque de rendre nos acteurs européens en position de faiblesse au regard des concurrents mondiaux.

Pour les solutions de santé imposer le retrait de GA c’est peut-être légitime mais uniquement sur les BO, là où il peut y avoir des données sensibles. Sur les sites institutionnels c’est peut être moins approprié.