Les acteurs français de la e-santé sont dans le viseur de l’association Interhop. Cette dernière a saisi la CNIL concernant l'utilisation par de nombreuses entreprises de ce secteur de l’outil Google Analytics. L’association regroupe des militants des logiciels libres et promeut une utilisation auto-gérée des données de santé à l’échelle locale. Elle a été sous le feu des projecteurs récemment au sujet du Health Data Hub. Dans son interpellation de la Cnil, elle s’appuie notamment sur deux décisions de justice, l’arrêt Schrems II rendu par la Cour de justice de l’Union européenne (CJUE) et la récente décision de l’autorité autrichienne de la protection des données (la Datenschutzbehörde).

L’arrêt Schrems II, rendu le 16 juillet 2020, invalide le régime de transferts de données entre l'Union européenne et les États-Unis (Privacy shield). La décision de la Cnil autrichienne, rendue le 22 décembre 2021, précise que l'utilisation de Google Analytics violait le règlement général sur la protection des données (RGPD). En effet, actuellement, de nombreuses entreprises au sein de l’UE utilisent cet outil. En transmettant leurs données récoltées à Google aux États-Unis elles sont de fait, dans l’illégalité et violent le droit européen. La CJUE a également considéré que « les exigences du droit américain […] entraînent des limitations de la protection des données personnelles qui ne sont pas circonscrites de manière à satisfaire à des exigences essentiellement équivalentes à celles requises par le droit de l’UE ».

La Cnil interpellée par Interhop

Plusieurs entreprises digitales de santé sont citées dans le courrier de l’association, désignées comme utilisateurs de Google Analytics. On retrouve ainsi Recare, Qare, HelloCare, Alan, Therapixel, Implicity, Medaviz, Medadom, KelDoc et Maiia. Interhop indique que « les acteurs de la e-santé doivent s’assurer de leur absence de soumission, totale ou partielle, à des injonctions de juridictions ou autorités administratives tierces les obligeant à leur transférer des données ». Cependant, ces entreprises n’ont, à aucun moment, été interrogées par Interhop directement. Par ailleurs, plusieurs d’entre elles n’hésitent pas à rappeler que leur site web diffère de leur plateforme de santé et en ce sens, l’utilisation d’Analytics ne s’applique qu’à leur site web, à des fins de mesure d’audience.

Dans son courrier adressé à la Cnil et rendu public, Interhop « rappelle que les données de santé sont des données sensibles comme définies par la Cnil ». L’association souhaite donc que le régulateur enquête à ce sujet et lui demande « d’analyser les conséquences de la jurisprudence Schrems II sur l’utilisation du service Google Analytics concernant l’ensemble des acteurs de la e-santé et plus spécifiquement sur ceux sus-mentionnés » Elle « demande également au régulateur de stopper les traitements qui s’avèreraient illégaux ». Pour rappel, près d’1,1 milliard d’euros d’amendes ont été imposées en 2021 pour violation de données personnelles en Europe.

Les acteurs de la e-santé démentent toute accusation

Medaviz a notamment répondu à notre demande d’informations de la façon suivante : « le site Medaviz.com est un site vitrine qui présente les solutions Medaviz et non la plateforme utilisée pour la pratique de la télémédecine. Ce site ne traite donc aucune information de santé. Les données de santé liées à l'utilisation de nos solutions sont hébergées par un hébergeur certifié HDS (Hébergeur de Données de Santé). Notre site corporate medaviz.com est conforme aux normes RGPD et les cookies utilisés sont strictement fonctionnels ou dédiés à la mesure d'audience. Medaviz a pour valeur socle de se conformer à toutes les évolutions réglementaires, et ce, depuis sa création ».

Matthieu Leclerc-Chalvet, directeur général de Therapixel a, pour sa part, expliqué être surpris de l’accusation d’Interhop à leur encontre et soutient qu’il convient de bien différencier leur site web vitrine présentant leur logiciel d’IA appliqué à l’imagerie médicale de leur plateforme et logiciel lui-même. « Le logiciel n'a absolument aucun échange de données avec le site web ». Il a ajouté que l'entreprise se tiendrait à disposition de la Cnil le cas échéant mais n’a pour l’instant pas été contactée par le régulateur. 

De son côté, Alice Cotte, directrice de Recare France a réagi sans attendre « à ces fausses allégations qui ont été publiées par Interhop et qui risquent, à tort, de causer un préjudice d’image important pour notre société ». Elle poursuite, précisant, que « Recare n’utilise en aucun cas les fonctionnalités de Googles Analytics dans le cadre de la fourniture de ses services via la plateforme numérique Recare Solutions destinée à faciliter les transferts de patients entre établissements de santé. L’entreprise a par conséquent implémenté les mesures techniques et organisationnelles nécessaires pour assurer la sécurité et la confidentialité des données traitées dans le cadre de la fourniture de ses services ». Elle précise utiliser les fonctionnalités de Google Analytics exclusivement dans le cadre du fonctionnement de son site internet « vitrine » destiné à présenter les activités de la société, et qui n’implique en aucun cas de traitement de données de santé.