Elle réclame de la Commission une analyse des conséquences de la décision de la Cour de justice de l’UE, dit « Schrems 2 ». Cette décision de 2020 est relative aux transferts de données à caractère personnel vers les pays tiers, en l’occurrence les États-Unis.
La justice avait alors invalidé l’accord dit Privacy Shield, qui qualifiait ce pays comme offrant un niveau de sécurité équivalent à celui en vigueur dans n’importe quel État membre européen.
Une affirmation qu’avait dénoncé la décision Schrems 2 en raison de possibles ingérences des autorités américaines dans ces flux venu d’Europe, fondées notamment sur des exigences relatives à la sécurité nationale et à l’intérêt public.
La question des données collectées par Google Analytics n’allait pas tarder à être abordée, puisque les données sont hébergées de l’autre côté de l’Atlantique. Déjà, le 22 décembre dernier, l’autorité autrichienne de la protection des données a estimé, en substance, que l‘utilisation de cet outil d’analyse d’audience viole le RGPD (voir ce billet de l’ONG NYOB, fondée par Max Schrems)
En France, Interhop embraye le pas au regard de l’utilisation du même service par plusieurs acteurs de la e-santé. Elle cite : « Recare, Qare, HelloCare, Alan, Therapixel, Implicity, Medaviz, Medadom, KelDoc, Maiia ».
Pour l’association, ils « doivent s’assurer de leur absence de soumission, totale ou partielle, à des injonctions de juridictions ou autorités administratives tierces les obligeant à leur transférer des données ».
Et Interhop, dans sa lettre adressée à la CNIL, de réclamer un arrêt des traitements qui s’avèreraient illégaux.
Commentaires (14)
#1
Google Analytics, Google Font, …
Si vous êtes citoyen EU, toute requête émise depuis votre navigateur vers un serveur hors UE devient problématique car elle contient l’IP du client (forcément). Ca devient n’importe quoi ce RGPD.
#1.1
Une IP n’est pas vraiment comparable à des données de santés. Et oui, l’UE essaye de faire respecter son RGPD et la protection des données en général pour protéger la vie privée des européens. Je trouve ça positif personnellement. Surtout quand on sait que de l’autre côté, le gouvernement et les “services de sécurité” peuvent réclamer n’importe quelle donnée sans que personne ne soit au courant.
#1.3
Certe une IP n’est pas comparable à une donnée de santé. Maintenant, faisons le chemin d’une donnée de type “adresse IP” vers Google (par exemple, au hasard):
J’ai une appli qui me demande de me connecter pour faire ma pre-admission a l’hôpital. Ok, je reçois le mail qui me propose de faire l’inscription : déjà le mail je vais je recevoir sur Gmail par exemple.
Ensuite, je me connecte sur l’App https ://……
Je fais l’inscription etc….
Ah zut y a déjà Google font/analytique derrière, qui scan ce que je tape:
Ils savent donc a présent
Cool non? Et ça, déjà ce sont des données de santé, désolé. Google (ou autre/ n’a pas besoin de savoir combien de fois je vais à l’hosto .
Et pour info, ce n’est hélas pas fictif. Ça ce passe dans mon hosto.
#1.4
Sinon tu viens 30min plus tôt et tu fais ton admission au guichet : Garantie sans cookies :) (quoi que je ne serais pas surpris de voir de l’analytique ou du cloud dans l’info interne de nos CHU
)
Bon par contre ne note pas le rdv dans ton agenda de smartphone, et n’utilises pas ton téléphone pour regarder le menu de la cafet, ou chercher l’itinéraire d’un resto. Sinon ça revient au même
#1.5
Le problème de faire l’admission localement, c’est qu’il faut du monde aux bureau des admissions…..
Ben oui, tu vas pas croire qu’ils ont laisser autant de personnes que ça ?
Quand à l’agenda, j’ai déjà prévu. J’utilise nextcloud (autohébergé) 😍
#1.2
Sachant que les USA ne protègent ABSOLUMENT PAS les données privées c’est effectivement un problème l’aspiration de données privées (même le niveau le plus bénin) vers des services US.
Le plus gros risque (même si c’est comme ça qu’on a réussi à ce que ce soit ENFIN discuté) n’est pas les services gouvernementaux US, c’est la revente et l’exploitation des données en mode “open bar” totalement incompatible avec les lois Européennes, mais “c’est bon c’est aux US, sans contrôle parce qu’on a prétendu qu’ils avaient le même niveau de protection”.
Déjà que les données personnelles/privées des Américains ne sont absolument pas protégées, celles des étrangers ne sont soumises à absolument aucun contrôle… (c’est comme d’hab avec les US : on fait une loi différentes pour les Américains, pour les Résidents Américains c’est pas pareil et moins bien, et pour tout ce qu’on pompe ailleurs, y a zéro règle ou protection).
C’est dingue comme Google and co chouinnent dès que l’UE mets un peu de limites, mais qu’ils ont aucun problème à ségréger les données des américains voir de certains états US dans l’état en question quand la loi américaine le leur impose….
C’est “impossible” pour le reste du monde, mais totalement possible aux US. Marrant non
#2
Le RGPD ne fait pas la différence: c’est une donnée personnelle. La seule différence c’est la gravité lors de l’évaluation du risque (cf. guide de la CNIL).
Les US font la différence (PII, PHI, …).
#2.1
Pour être précis, si, le RGPD fait la différence. Les données de santé sont des données à caractères personnelles sensibles. De ce fait, incombe au responsable de traitement des responsabilités supplémentaires (comme par exemple, la réalisation d’une étude d’impact dans certaines conditions).
Maintenant, il faut aussi garder en mémoire que le simple fait de visiter un site peut donner des informations sur la santé d’un individu. Se rendre sur un site parlant d’IVG, des alcooliques anonymes ou d’un groupe de soutien pour les personnes atteinte d’un cancer (ou tout autre maladie) en dit déjà beaucoup.
#3
Google analytique, google font, jquery et autre machin qui en plus plombe les temps de réponse.
#4
Avec le CG-NAT qui devient la norme en IPv4 chez les opérateurs, une IPv4 est partagée entre plusieurs clients donc le fait que ça soit toujours considéré comme une donnée personnelle c’est un peu bizarre
Il y a des sites qui ont en plus de google analytics :
analytics.tiktok.com
bat.bing.com
connect.facebook.net
c.bing.com
#4.1
Ajoute une plage de ports si tu veux et ça redevient une donnée personnelle.
Et n’oublie pas l’IPV6.
#5
Bah les GAFAM sont des entreprises ayant leur HQ sur le sol US, et donc elles sont soumises aux lois US avant tout autre.
Le seul pays qui peut interdire à un GAFAM de commercer partout dans le monde, c’est les US.
Les autres pays peuvent simplement interdire le commerce sur leur propre sol.
#5.1
Tu n’as pas bien compris : aux US ils se plient aux obligations non seulement d’avoir les données sur le sol US mais dans des états bien spécifiques dans certains cas, avec différenciation des données des utilisateurs de cet état et des autres états…
ie : ils peuvent allègrement faire pareil pour l’identification et traitement différenciel des données européennes des autres.
Mais là ce serait beaucoup beaucoup beaucoup moins rentable pour eux, ils devraient respecter les lois européennes au lieu de l’OpenBar US, c’est pas pareil. ;)
#6
Pourquoi pointer directement vers le site de Google ? C’est comme pour jQuery au lieu d’inclure le lien direct qui va charger une version je ne sais où qui peut évoluer (régression malware) à tout moment, tu la mets en local sur ton propre serveur.
Tu figes une version, améliore la sécurité de ton site, maitrise les upgrades, respecte le RGPD et t’assures de continuer à tourner le jour où Google tomberait (oui ça c’est un peu hypothétique :) )
Bref franchement ce n’est pas compliqué…