L'association InterHop, spécialisée dans le logiciel libre, peste contre le traitement des données collectées par la solution Google Analytics, hébergée aux États-Unis.
Assiste-t-on à une levée de boucliers contre la solution de mesure d'audience de sites internet Google Analytics en Europe ? InterHop se veut être la représentante française du mouvement. L'association française, qui développe et propose des logiciels libres et open source pour la santé, annonce avoir saisi la Commission nationale de l'informatique et des libertés (CNIL), afin de faire « stopper les traitements qui s'avèreraient illégaux ». Ici, elle vise notamment Google, qui héberge les données des acteurs de la e-santé issues de sa solution Analytics directement aux États-Unis.
Une jurisprudence bien moins favorable au transfert des données hors UE
Le 13 janvier 2022, la Datenschutzbehörde, la CNIL autrichienne, a rendu une décision dans laquelle elle se prononce contre la légalité de l'utilisation de Google Analytics, qui selon elle ne serait pas conforme au RGPD. Certaines entreprises ont donc dans la foulée annoncé interdire, en interne, l'utilisation de l'outil de la firme de Mountain View.
Cette décision fait écho à d'autres événements récents, avec en premier lieu, le fameux arrêt Schrems II, rendu le 16 juillet 2020 et par lequel la Cour de justice de l'Union européenne (CJUE) est venue invalider un précédent accord, le Privacy Shield, qui permettait le transfert de données à caractère personnel vers un pays hors Union européenne, ici les États-Unis. Autrement dit : le transfert de données personnelles vers les USA n'est plus qualifié comme sûr. Deux textes américains sont dans le viseur des autorités européennes et de la CNIL française : le Foreign Intelligence Surveillance Act (FISA), qui permet de cibler des personnes situées en dehors des États-Unis et l'Executive Order, qui vient légaliser les techniques d'interception de signaux en provenance ou vers les USA. Une ingérence dénoncée par les militants de la protection des données. Microsoft est par exemple soumis aux demandes de l'État américain, qui peut l'obliger à transférer des données qu'il héberge à tout moment, notamment lorsque des raisons de sécurité sont invoquées.
La décision prise par la CNIL autrichienne il y a quelques jours pointe du doigt Google (sans toutefois condamner l'entreprise), qui a avoué héberger (donc stocker puis traiter ultérieurement) toutes les données collectées par Analytics aux États-Unis. Pour le célèbre militant de la protection des données, Max Schrems, cela est illégal, contraire au RGPD. Le président de noyb.eu reproche à de nombreuses entreprises européennes d'avoir suivi le mouvement, plutôt que de se tourner vers des options légales. Il n'en fallait évidemment pas plus pour faire réagir d'autres associations.
Plusieurs acteurs français de la e-santé pointés du doigt par InterHop pour leur utilisation d'Analytics
InterHop, qui s'en tient au domaine de la santé, indique que de nombreuses entreprises de e-santé françaises utilisent le service Google Analytics. Elle cite notamment Maiia, KelDoc, HelloCare, Alan, Recare, Qare, Medadom, Implicity, Therapixel. L'association soutient que Recare mentionne même, sur son site internet, que des données peuvent être « traitées en dehors de l'EEE, notamment aux États-Unis d'Amérique. Nous avons conclu des clauses contractuelles types de l'UE avec le fournisseur de services afin de garantir un niveau adéquat de protection des données ».
L'association InterHop affirme que les acteurs du monde de la e-santé « doivent s’assurer de leur absence de soumission, totale ou partielle, à des injonctions de juridictions ou autorités administratives tierces les obligeant à leur transférer des données ». Elle a à ce titre saisi la CNIL.
Rappelant d'abord que les données de santé sont des « données sensibles », InterHop demande à la CNIL de stopper les traitements qui se révéleraient illégaux, en analysant les conséquences de l'arrêt Schrems II sur l'utilisation de Google Analytics concernant les acteurs de la e-santé.
L’épidémie de Covid-19 a fait entrer la télémédecine dans le quotidien des français. Avant le confinement, les téléconsultations étaient limitées à quelques milliers par semaine sur tout le territoire - elles étaient de plusieurs millions pendant la crise.
Lire la suite
Journaliste, chargé de l'actualité de Clubic. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJCAM, école reconnue par la profession), pour écrire, interviewer, filmer, monter et produire du contenu écrit, audio ou vidéo au quotidien. Quelques atomes crochus avec la Tech, certes, mais aussi avec l'univers des médias, du sport et du voyage. Outre le journalisme, la production vidéo et l'animation, je possède une chaîne YouTube (à mon nom) qui devrait piquer votre curiosité si vous aimez les belles balades à travers le monde, les nouvelles technologies et la musique :)
Lire d'autres articles
