Données de santé : la CNIL invitée à son tour à se pencher sur Google Analytics
La Commission nationale de l'information et des libertés (CNIL) a été saisie par le collectif Interhop, deux semaines après que la Datenschutzbehörde (DSB), son homologue autrichien, a estimé que l'utilisation de Google Analytics était contraire au droit européen en matière de protection de la vie privée.
La Commission nationale de l’information et des libertés (CNIL) a été saisie par le collectif Interhop, deux semaines après que la Datenschutzbehörde (DSB), son homologue autrichien, a estimé que l’utilisation de Google Analytics était contraire au droit européen en matière de protection de la vie privée.
Le début de la réaction en chaîne redoutée par Google ? Dans un courrier adressé à la CNIL vendredi (28 janvier), le collectif Interhop dénonce que de nombreux acteurs français de la e-santé — Recare, Alan, KelDoc ou Maiia par exemple — utilisent le service d’analyse d’audience Google Analytics.
Le 13 janvier dernier, la CNIL autrichienne a jugé que l’utilisation de cet outil était contraire au droit européen en matière de protection des données personnelles après que Google a reconnu au cours de la procédure que « toutes les données collectées par Google Analytics […] sont hébergées (c’est-à-dire stockées et traitées ultérieurement) aux États-Unis ».
Or, le traitement de données personnelles sur le sol américain, particulièrement celles liées à la santé, érigées comme « sensibles » par le Règlement général sur la protection des données (RGPD), est illégal s’il n’y a de garanties supplémentaires prises depuis l’arrêt « Schrems II » de juillet 2020.
Cette décision de la Cour de justice de l’UE, qui porte le nom de l’activiste autrichien à l’origine de la procédure, Max Schrems, a invalidé le « Privacy Shield », l’accord entre le bloc et les États-Unis qui encadrait la libre circulation des données personnelles entre l’UE et les États-Unis.
Selon elle, ces derniers n’offraient pas un niveau de protection équivalent pour la vie privée des citoyens européens, en raison de la législation américaine qui permet aux autorités d’avoir accès à ces données, peu importe où elles sont stockées.
Dans le cadre d’une autre procédure autour du très décrié « Health Data Hub », le Conseil d’État, la plus haute juridiction administrative en France, avait en octobre 2020 confirmé cette analyse, arguant qu’on ne pouvait exclure que les services de renseignement américains puissent vouloir consulter ces données.
« Les acteurs de la e-santé doivent s’assurer de leur absence de soumission, totale ou partielle, à des injonctions de juridictions ou autorités administratives tierces les obligeant à leur transférer des données », note la demande d’Interhop, qui appelle la CNIL à analyser les conséquences de la jurisprudence « Schrems II » sur Google Analytics et à mettre fin aux traitements de données qui s’avèreraient illégaux.
Force est de constater que l’étau se resserre autour de Google Analytics. L’invalidation du « Privacy Shield » a récemment conduit le Contrôleur européen de la protection des données (CEPD) à sanctionner le Parlement européen après avoir constaté que le site interne de test Covid-19, sur lequel les législateurs et le personnel du Parlement utilisait un cookie de Google Analytics notamment.
Est-ce la fin du service en Europe pour autant ? Pas si vite pour Russel Ketchum, chef de produit chez Google.
Dans un billet de blog posté en réaction à la décision de la CNIL autrichienne, il écrit que les conditions imposées par le RGPD et la Cour de justice de l’UE pour procéder à des transferts de données hors de l’UE sont appliquées par Google.
En plus des clauses contractuelles types mises en place — et nécessaires dans le cas d’un transfert de données de l’UE vers un pays tiers ne disposant pas d’un niveau de protection équivalent — M. Ketchum met en avant le « chiffrement des données à la pointe de l’industrie » et la « sécurité physique dans nos centres de données et politiques robustes pour le traitement des demandes gouvernementales d’informations sur les utilisateurs ».
Et d’ajouter : « Notre infrastructure et notre chiffrement sont conçus pour protéger les données, et les mettre à l’abri de tout accès gouvernemental ».
Reste à voir désormais si la CNIL souhaite se pencher sur le sujet et, si oui, si elle partage cette analyse. Une éventuelle instruction de la part du gendarme de la vie privée français pourrait véritablement inspirer les autres autorités européennes à se saisir du sujet, confirmant que la décision prise par la CNIL autrichienne ne restera pas un cas isolé.
