En janvier dernier1 nous avons saisi la CNIL concernant l’utilisation de l’outil Google Analytics par plusieurs acteurs de la santé.

Qu’en est-il des entreprises digitales en santé ? Plusieurs d’entre elles utilisent ce service fourni par Google, nommé Google Analytics. En voici une liste non exhaustive : Recare, Qare2, HelloCare3, Alan4, Therapixel5, Implicity6, Medaviz7, Medadom8, KelDoc9, Maiia10

Notre action faisait suite à la décision de la CNIL autrichienne qui avait jugé l’utilisation de Google Analytics comme illégale et contraire au RGPD11.

Suite à ce signalement, à l’action conjointe de notre avocate Juliette ALIBERT et de la CNIL plusieurs de ces entreprises du digitale en santé ont arrêté l’utilisation du service de Google. Merci à elles.

Nous remercions particulièrement la CNIL pour son action en faveur de la protection des libertés fondamentales numériques.

Cette décision pose cependant plusieurs questions.

La première est de comprendre pourquoi toutes les entreprises de la e-santé n’ont pas stoppé l’utilisation des Google Analytics. Nous rappelons qu’au cours de la procédure auprès de la CNIL autrichienne, Google avait avoué12 que

toutes les données collectées par Analytics […] sont hébergées (c’est-à-dire stockées et traitées ultérieurement) aux États-Unis.

La seconde est plus large et concerne l’utilisation de services informatiques cloud américains pour des données de santé. Qu’en est-il de la légalité de CloudFlare13 ? Du Cloud Microsoft Azure1415 ? De l’outils Teams 16 ? d’Amazon Web Service 17

Ces services ne sont pas plus légaux que Google Analytics. Ni un accord cadre transatlantique, ni des mesures supplémentaires pour renforcer la protection des données de santé ne permettent de garantir un niveau de protection équivalent au droit de l’Union Européenne18.

Par conséquent, les mesures supplémentaires adoptées, telle qu’elles ont été présentées par Google, ne sont pas efficaces dans la mesure où aucune d’entre elles ne résout les problèmesspécifiques au cas d’espèce. En effet, aucune d’entre elles n’empêche les services de renseignement américains d’accéder aux données en cause ou ne rendent cet accès ineffectif.

Ensemble et avec nos partenaires, nous poursuivrons donc nos contentieux stratégiques pour garantir la confiance des patient.e.s dans le système de soin.

  1. Saisine de la CNIL concernant l’utilisation par de nombreux acteurs de la e-santé des Google Analytics 

  2. https://www.qare.fr/cookies 

  3. https://hellocare.com/confidentialite 

  4. https://alan.com/privacy 

  5. https://www.therapixel.com/privacy-policy/ 

  6. https://www.implicity.com/privacy-policy/ 

  7. https://www.medaviz.com/politique-de-confidentialite-3/#cookies 

  8. https://www.medadom.com/cookies 

  9. https://www.keldoc.com/a-propos/cookies 

  10. https://www.maiia.com/donnees-personnelles 

  11. https://noyb.eu/sites/default/files/2022-01/E-DSB%20-%20Google%20Analytics_DE_bk.pdf 

  12. Utiliser Google Analytics serait une violation du RGPD, selon l’Autriche 

  13. Politique de protection des Données à caractère personnel - Professionnels de santé 

  14. #StopHealthDataHub : les données de santé en otage chez Microsoft 

  15. Mentions légales - Synapse 

  16. L’Institut Curie déploie Microsoft Teams pour assurer la continuité des soins et innover 

  17. Mentions légales - Lifen 

  18. Mise en demeure anonymisée CNIL - Google analytics