L’autorité autrichienne de protection des données personnelles a estimé dans une décision rendue jeudi 13 janvier qu’un site Internet portant sur le domaine de la santé ne respectait pas le règlement général sur la protection des données (RGPD), car il utilisait ce service de Google.
Pour la Datenschutzbehörde (DSB), l’équivalent autrichien de la Commission nationale de l’informatique et des libertés (CNIL), c’est le transfert vers les Etats-Unis des données des internautes européens se rendant sur ce site qui pose problème. Elle a estimé que, malgré leur pseudonymisation, ces données pouvaient facilement être recombinées pour identifier individuellement des internautes, notamment par les services de renseignement américains. « En visitant un site utilisant Google Analytics, un numéro unique est assigné au navigateur Web de l’internaute. (…) Il est possible de combiner ce numéro avec d’autres informations, comme l’adresse IP ou d’autres données issues du navigateur. Cette combinaison peut créer un identifiant unique qui peut être assigné à l’utilisateur du navigateur », détaille la DSB.
Cette décision est consécutive à l’une des 101 plaintes que l’activiste Max Schrems a déposées en 2020 auprès de plusieurs autorités de protection des données européennes, après sa victoire devant la Cour de justice de l’Union européenne (CJUE). Cette dernière, dans l’arrêt dit « Schrems II », a jugé en juillet 2020 que le droit américain était fondamentalement incompatible avec celui de l’Union européenne (UE).
Le Cloud Act (« Clarifying Lawful Overseas Use of Data Act »), loi fédérale américaine promulguée en mars 2018, étend la portée géographique des demandes éventuelles du gouvernement américain à pouvoir accéder aux données sur les serveurs, quelque soit leur localisation.
La DSB refuse, à ce stade, de sanctionner Google pour son utilisation des données, estimant que seul le site autrichien était fautif pour avoir pris part au transfert de données d’Europe vers les Etats-Unis. Elle a cependant estimé que les précautions prises par Google pour protéger les données collectées par son service, par exemple leur chiffrement, étaient insuffisantes.
Cette décision met néanmoins la pression sur un grand nombre de startups européennes oeuvrant dans le domaine de la e-santé et qui utilisent probablement Google Analytics pour analyser le trafic de leur site internet. Ilexiste pourtant des alternatives logicielles européennes ou nationales en matière de web analytics… Mais payantes. La sécurité des données des patients a un prix.