La Cnil appelée à se prononcer sur l'utilisation de Google Analytics par les entreprises de l'e-santé

L'association française Interhop a saisi la Cnil pour lui demander de se positionner sur l'utilisation de Google Analytics par les entreprises spécialisées dans l'e-santé. L'autorité autrichienne a décidé il y a quelques jours que l'utilisation de Google Analytics violait le RGPD car le recours à cet outil engendrait nécessairement le transfert des données personnelles vers les Etats-Unis. 

Partager
La Cnil appelée à se prononcer sur l'utilisation de Google Analytics par les entreprises de l'e-santé

Interhop, une association qui promeut, développe et met à disposition des logiciels libres pour la santé, a saisi la Commission nationale de l'informatique et des libertés (Cnil) pour l'enjoindre de se pencher sur l'utilisation du service Google Analytics par les entreprises spécialisées dans l'e-santé. "En voici une liste non exhaustive : Recare, Qare, HelloCare, Alan, Therapixel, Implicity, Medaviz, Medadom, KelDoc, Maiia...", détaille l'association dans un courrier datant du 29 janvier 2022.

Google Analytics viole le RGPD
C'est une décision particulièrement importante rendue par l'autorité de protection des données autrichienne (la Datenschutzbehörde) qui justifie cette nouvelle saisine de la Cnil. Le 13 janvier dernier, elle a jugé que l'utilisation de Google Analytics violait le Règlement général sur la protection des données (RGPD) car elle engendrait de facto le transfert des données personnelles vers les Etats-Unis. Or, depuis l'invalidation du Privacy Shield par le juge européen, les flux de données de citoyens européens vers les Etats-Unis sont très largement remis en cause et leur légalité est loin d'être évidente.

En vertu d'un ensemble de réglementations, les fournisseurs de cloud américains sont soumis aux ordres des autorités américaines. Sous certaines conditions, elles peuvent exiger l'accès à des données hébergées par ces derniers même si elles sont stockées en dehors du territoire américain. C'est cette extraterritorialité du droit américain qui a justifié l'invalidation du Privacy Shield par la Cour de justice de l'Union européenne (CJUE). Elle a estimé que les pratiques américaines n'étaient pas compatibles avec les protections du RGPD.

Interhop demande l'arrêt des traitements illégaux
Ainsi, "les acteurs de la e-santé doivent s'assurer de leur absence de soumission, totale ou partielle, à des injonctions de juridictions ou autorités administratives tierces les obligeant à leur transférer des données", écrit l'association française dans son courrier. Elle demande donc à la Cnil de "stopper les traitements qui s'avéreraient illégaux".

Il reste à savoir ce que décidera la Cnil : suivre la décision de son homologue autrichien ou faire cavalier seul au risque de créer une fragmentation des pratiques au sein de l'Europe ? L'autorité française s'est en réalité déjà positionnée sur ce sujet. En mai 2021, dans un avis, elle a demandé aux organismes de l'enseignement supérieur et de la recherche d'abandonner l'utilisation d'outils collaboratifs édités par des entreprises américaines. Elle admettait que "dans certains cas, des transferts de données personnelles vers les Etats-Unis dans le cadre de l'utilisation de 'suites collaboratives pour l'éducation' peuvent se produire".

SUR LE MÊME SUJET

Sujets associés

NEWSLETTER L'Usine Digitale

Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

ARTICLES LES PLUS LUS