Recevez chaque jour toute l'actualité du numérique

x

La Cnil appelée à se prononcer sur l'utilisation de Google Analytics par les entreprises de l'e-santé

L'association française Interhop a saisi la Cnil pour lui demander de se positionner sur l'utilisation de Google Analytics par les entreprises spécialisées dans l'e-santé. L'autorité autrichienne a décidé il y a quelques jours que l'utilisation de Google Analytics violait le RGPD car le recours à cet outil engendrait nécessairement le transfert des données personnelles vers les Etats-Unis. 
Twitter Facebook Linkedin Flipboard Email
×

La Cnil appelée à se prononcer sur l'utilisation de Google Analytics par les entreprises de l'e-santé
La Cnil appelée à se prononcer sur l'utilisation de Google Analytics par les entreprises de l'e-santé © Pixabay

Interhop, une association qui promeut, développe et met à disposition des logiciels libres pour la santé, a saisi la Commission nationale de l'informatique et des libertés (Cnil) pour l'enjoindre de se pencher sur l'utilisation du service Google Analytics par les entreprises spécialisées dans l'e-santé. "En voici une liste non exhaustive : Recare, Qare, HelloCare, Alan, Therapixel, Implicity, Medaviz, Medadom, KelDoc, Maiia...", détaille l'association dans un courrier datant du 29 janvier 2022. 

Google Analytics viole le RGPD
C'est une décision particulièrement importante rendue par l'autorité de protection des données autrichienne (la Datenschutzbehörde) qui justifie cette nouvelle saisine de la Cnil. Le 13 janvier dernier, elle a jugé que l'utilisation de Google Analytics violait le Règlement général sur la protection des données (RGPD) car elle engendrait de facto le transfert des données personnelles vers les Etats-Unis. Or, depuis l'invalidation du Privacy Shield par le juge européen, les flux de données de citoyens européens vers les Etats-Unis sont très largement remis en cause et leur légalité est loin d'être évidente.

En vertu d'un ensemble de réglementations, les fournisseurs de cloud américains sont soumis aux ordres des autorités américaines. Sous certaines conditions, elles peuvent exiger l'accès à des données hébergées par ces derniers même si elles sont stockées en dehors du territoire américain. C'est cette extraterritorialité du droit américain qui a justifié l'invalidation du Privacy Shield par la Cour de justice de l'Union européenne (CJUE). Elle a estimé que les pratiques américaines n'étaient pas compatibles avec les protections du RGPD.

Interhop demande l'arrêt des traitements illégaux
Ainsi, "les acteurs de la e-santé doivent s'assurer de leur absence de soumission, totale ou partielle, à des injonctions de juridictions ou autorités administratives tierces les obligeant à leur transférer des données", écrit l'association française dans son courrier. Elle demande donc à la Cnil de "stopper les traitements qui s'avéreraient illégaux". 

Il reste à savoir ce que décidera la Cnil : suivre la décision de son homologue autrichien ou faire cavalier seul au risque de créer une fragmentation des pratiques au sein de l'Europe ? L'autorité française s'est en réalité déjà positionnée sur ce sujet. En mai 2021, dans un avis, elle a demandé aux organismes de l'enseignement supérieur et de la recherche d'abandonner l'utilisation d'outils collaboratifs édités par des entreprises américaines. Elle admettait que "dans certains cas, des transferts de données personnelles vers les Etats-Unis dans le cadre de l'utilisation de 'suites collaboratives pour l'éducation' peuvent se produire". 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.