La CNIL, c’est la Commission Nationale de l’Informatique et des Libertés, cette commission indépendante a été créée par la loi Informatique et Libertés en 1978.

La CNIL veille à la protection des données personnelles publiques et privées, elle s’assure que l’informatique et les traitements papiers, soient garants des droits du citoyen et qu’ils ne portent pas atteinte à l’identité humaine, aux droits de l’Homme, à la vie privée et aux libertés. La CNIL a donc un rôle d’alerte, de contrôle et de sanction.

Les données personnelles, s’il faut le rappeler brièvement, sont toutes les données qui permettent d’identifier un individu et le relier à des informations. Les données de santé font l’objet d’une surveillance plus importante, car elles sont considérées comme particulièrement sensibles.

Il y a quelques semaines, la CNIL a été saisie sur l’usage de Google Analytics par plusieurs entreprises de E-santé, au motif que cette pratique ne permettait pas de garantir un niveau satisfaisant de protection des données personnelles.

Nous vous proposons de décrypter cette actualité pour mieux comprendre les enjeux en matière de protection de la vie privée.

D’abord revenons sur les « cookies tiers », depuis plusieurs mois, une pop-up s’affiche pour s’assurer que vous avez toute l’information nécessaire sur ce témoin : celui-ci est associé à votre visite sur un domaine web. Ce témoin s’active lorsque vous vous reconnectez sur le même domaine. Le cookie sert à mémoriser vos identifiants (et éviter de les saisir régulièrement), votre panier ou encore enregistrer la navigation sur le site (avez vous cliqué sur le bouton du haut ou celui du bas ?) mais aussi pour des statistiques (nombre de connexion, heure de connexion) qui serviront à gérer l’infrastructure du domaine (puissance des serveurs) ou à des fins publicitaires.

L’utilisation de cookie doit obligatoirement nécessiter consentement : soit l’utilisation est « strictement nécessaire à une fonctionnalité expressément demandée par l’utilisateur » (par exemple une authentification par mail ou encore l’inscription de vos coordonnées pour être recontacté) le consentement est alors  réputé être tacite et ne requiert pas de second consentement. Par contre, dans le cas où le cookie aurait été interrogé par le site web en non par vous-même, alors le consentement éclairé est exigé (la pop-up qui s’affiche).

Google Analytics est un outil de statistique mis à disposition gratuitement par Google, qui s’installe en 2 clics et permet à tout administrateur de site web d’obtenir des statistiques détaillées de l’utilisation de son site. Google Analytics permet de suivre l’audience du site : combien de personnes connectées, de quelle localité (précision de +/- 50 kms), à quelle heure… Google Analytics permet aussi de suivre (anonymement) la navigation des utilisateurs : par exemple: 100 personnes ont vu la page 1 puis la moitié à quitté le site, alors que l’autre moitié à vu la page 2 puis la page 3, une semaine après un certain pourcentage est revenu sur le site, et ils ont fait telle action … Ces éléments permettent à moindre frais d’améliorer la configuration de son site, puisque l’outil statistique permet d’évaluer l’impact sur les utilisateurs.

Mais Google Analytics, collecte toutes ces données locales, puis les traite aux Etats-Unis, l’entreprise ayant son siège social en Californie.  C’est sur ce point que la CNIL a été saisie : Les lois américaines concernant la protection des données ne sont pas équivalentes à la RGPD. Les données enregistrées localement sur les sites de E-santé seraient stockées, compilées et mises bout à bout, permettant de constituer des ramifications de plus en plus précises et de moins en moins anonymes.

Google Analytics pourrait être apparenté à un cheval de Troie, puisqu’en ayant les informations de navigation sur plusieurs domaines… les ramifications deviennent de plus en plus précises et permettraient de connaître vos préoccupations, vos envies et devancer vos besoins… En matière de données de santé, cela devient donc un très gros problème …

Il est important que la CNIL ait été saisie et nous espérons que toutes les entreprises E-santé feront comme OrgaVita, le choix de déployer des outils de mesure d’audience en interne, pour garantir le respect de la vie privée.