InterHop, association spécialisée dans le logiciel libre, a saisi la Commission nationale de l'informatique et des libertés (CNIL) pour que les acteurs d'e-santé comme Alan, HelloCare, Keldoc ou Maiia arrêtent d'utiliser Google Analytics. Selon eux, le service de mesure d'audience de sites internet de la firme de Mountain View traiterait les données qu'il collecte de manière illégale.

Une saisine motivée par les décisions de la CNIL autrichienne et de la CJUE

La saisine de la CNIL par InterHop a tout d'abord été motivée par une décision de la Datenschutzbehörde, la CNIL autrichienne. Le 13 janvier 2022, cette dernière a rendu une décision dans laquelle elle se prononce contre la légalité de l'utilisation de Google Analytics. L'outil ne serait pas conforme à la Réglementation générale sur la protection des données (RGPD).

Cette décision a été rendue possible par l'arrêt Scherems II du 16 juillet 2020. Ce jour-là, la Cour de Justice de l'Union européenne (CJUE) est venue invalider un précédent accord, le Privacy Shield, qui permettait le transfert de données à caractère personnel vers un pays hors Union européenne, ici les États-Unis. Ainsi, le transfert de données personnelles vers les États-Unis n'est pas considéré comme sûr, ne protégeant pas assez la vie privée des citoyens européens.

De plus, Google a avoué héberger toutes les données collectées par Analytics aux États-Unis, qu'elles soient collectées en Amérique, en Asie, en Afrique, en Océanie ou en Europe. Or, si une entreprise utilise Google Analytics, elles transmettent leurs données récoltées à Google aux États-Unis, et sont donc dans l'illégalité.

Google Analytics

Selon W3Techs, Analytics est actuellement utilisé par plus de 10 millions de sites web, ce qui constitue plus de 80 % du marché mondial. Image : Google.

Des acteurs français de la e-santé cités par InterHop pour leur utilisation de Google Analytics

Pour toutes ces raisons, InterHop a saisi la CNIL en lui demandant « d’analyser les conséquences de la jurisprudence Schrems II sur l’utilisation du service Google Analytics concernant l’ensemble des acteurs de la e-santé (comme Maiia, KelDoc, HelloCare, Alan, Recare, Qare, Medadom, Implicity, Therapixel) et de stopper les traitements qui s’avéreraient illégaux ».

InterHop rappelle que les données de santé sont des données sensibles qui doivent respecter à la lettre les conditions du RGPD. Elle affirme ainsi que les acteurs du secteur de la e-santé « doivent s’assurer de leur absence de soumission, totale ou partielle, à des injonctions de juridictions ou autorités administratives tierces les obligeant à leur transférer des données ».

En Europe et en France, deux textes sont dans le viseur des autorités (dont la CNIL) : le Foreign Intelligence Surveillance Act (FISA), qui permet de cibler des personnes situées en dehors des États-Unis et l'Executive Order, qui vient légaliser les techniques d'interception de signaux en provenance ou vers les États-Unis. Par exemple, les États-Unis peuvent demander à Microsoft de transférer des données qu'il héberge à tout moment, notamment si des raisons de sécurité sont invoquées.