La CNIL saisie sur l'utilisation de Google Analytics par les acteurs de la e-santé : beaucoup de bruit pour rien ?

Interhop a saisi la Cnil au sujet de l'utilisation, par de nombreux acteurs français du secteur de l'e-santé, de l'outil Google Analytics s'appuyant sur la décision de la "Cnil autrichienne" rendue le 21 décembre 2021. Les acteurs de l'e-santé visés par l'association remarquent que l'utilisation d'un service comme Google Analytics s'applique uniquement à des sites Internet, et non aux plateformes et aux logiciels développés par les acteurs. La réaction de la CNIL à cette saisine est très attendu

Il y a quelques jours, l’association Interhop a saisi la Cnil au sujet de l’utilisation, par de nombreux acteurs du secteur de l’e-santé, de l’outil Google Analytics. La rhétorique déployée par l’association, qui promeut l’utilisation de logiciels libres pour la santé et une utilisation autogérée des données de santé à l’échelle locale, s’appuie sur la décision de la “Cnil autrichienne” rendue le 21 décembre 2021. Dans cette décision, l’autorité de protection des données en Autriche indique qu’elle considère comme illégale l’utilisation de Google Analytics dont l’implémentation, sans garanties supplémentaires, ne serait pas conforme aux exigences du RGPD relatives aux transferts transfrontaliers de données.

Rappelons en effet que le RGPD établit dans son chapitre 5 des règles encadrant les transferts de données vers des pays tiers à l’Union européenne, avec notamment des exigences à la fois juridiques et techniques de sécurisation des données lorsque le pays de destination ne fait pas l’objet d’une décision d’adéquation.

La Cnil autrichienne, dans son arrêt, relève que la décision d’adéquation dont bénéficiait les États-Unis a été révoquée par l’arrêt Schrems II du 16 juillet 2020. Les transferts de données à caractère personnel vers les États-Unis sont donc soumis aux exigences juridiques et techniques susmentionnées, qui ne sont cependant pas implémentées dans le cadre de l’utilisation de Google Analytics. D’où la conclusion que tire la Cnil autrichienne du caractère illégal de l’utilisation de l’outil.

Interhop se base donc sur ces observations pour interpeller plusieurs acteurs français de l’e-santé, comme Recare, Qare, HelloCare, Alan, Therapixel, Implicity, Medaviz, Medadom, KelDoc ou Maiia. L’association rappelle notamment que les données de santé sont des données qualifiées de sensibles par le RGPD, et qu’une attention particulière doit être portée à la potentielle soumission des acteurs de l’e-santé à des injonctions de juridictions ou autorités administratives tierces les obligeant à leur transférer des données. Elle demande ainsi au régulateur de stopper les traitements qui s'avéreraient illégaux.

Les acteurs de l’e-santé visés par l’association remarquent cependant que l’utilisation d’un service comme Google Analytics s’applique uniquement à des sites Internet, et non aux plateformes et aux logiciels développés par les acteurs. Les réactions de Medaviz, Therapixel, ou Recare ont toutes été similaires, en rappelant que les sites web “vitrine” qui présentent les logiciels et plateformes développés par les entreprises sont bien distincts desdits logiciels et plateformes. Aucun échange de données ne prend place entre les sites web et les plateformes, et les sites qui peuvent implémenter l’outil Google Analytics ne traitent en aucun cas de données de santé.

Nous ne pouvons désormais qu’attendre la réaction de la CNIL à sa saisine par Intershop, mais il se pourrait, en l’état, qu’une telle interpellation ne provoque rien d’autre que beaucoup de bruit pour rien.