Google Analytics est une solution de mesure qui vous permet d'obtenir des insights commerciaux concernant le trafic sur vos sites Web et dans vos applications. Il est important de vous assurer que votre implémentation de Google Analytics et que les données collectées sur les visiteurs de vos propriétés répondent à toutes les obligations légales applicables.
Nous vous rappelons que pour protéger la confidentialité des utilisateurs, les règles et les conditions d'utilisation de Google Analytics interdisent l'envoi à Google de données que Google pourrait considérer comme des informations permettant d'identifier personnellement l'utilisateur. Par ailleurs, aucune donnée que vous collectez à l'aide de Google Analytics ne doit révéler d'informations sensibles concernant un utilisateur ou permettre de l'identifier. Si vous devez supprimer des données des serveurs Analytics pour une raison quelconque, vous pouvez planifier une demande de suppression de données ou utiliser l'API User Deletion.
Qu'est-ce que la loi HIPAA et à qui s'applique-t-elle ?
La loi HIPAA (Health Insurance Portability and Accountability Act) de 1996 est une loi fédérale des États-Unis qui s'applique aux entités qui y sont soumises. La loi et ses dispositions d'application ne s'appliquent généralement pas aux clients Google Analytics qui exercent leurs activités exclusivement en dehors des États-Unis ni à tous les clients exerçant aux États-Unis. Les clients Analytics ont la responsabilité de déterminer s'ils sont soumis à la loi HIPAA et quelles sont leurs obligations en vertu de cette loi.
Est-il possible d'utiliser Google Analytics en conformité avec la loi HIPAA ?
Les clients ne doivent pas utiliser Google Analytics d'une manière qui pourrait créer des obligations en vertu de la loi HIPAA pour Google. Les entités soumises à la loi HIPAA qui utilisent Google Analytics doivent s'abstenir de divulguer à Google des données pouvant être considérées comme des données de santé protégées, même si elles ne sont pas explicitement décrites comme des informations permettant d'identifier personnellement l'utilisateur dans les contrats et les règles de Google. Google ne fait aucune déclaration quant à la conformité de Google Analytics aux exigences de la loi HIPAA et ne fournit aucun accord de partenariat en lien avec ce service.
Pour les entités soumises à la loi HIPAA qui cherchent à déterminer comment configurer Google Analytics sur leurs propriétés, le communiqué du département de la Santé et des Services sociaux des États-Unis indique précisément dans quelles circonstances les données peuvent être considérées ou non comme des données de santé protégées. Voici quelques étapes supplémentaires à suivre pour vous assurer que votre utilisation de Google Analytics est autorisée :
- Les clients soumis à la loi HIPAA ne doivent pas utiliser Google Analytics d'une manière qui implique la collecte de données de santé protégées ou leur accès par Google. Ils ne peuvent utiliser Google Analytics que sur des pages non soumises à la loi HIPAA.
- Les pages authentifiées sont susceptibles d'être soumises à la loi HIPAA, et les clients ne doivent pas y ajouter de balises Google Analytics.
- Les pages non authentifiées liées à la fourniture de services de santé (y compris comme décrit dans le communiqué du département de la Santé et des Services sociaux des États-Unis) sont plus susceptibles d'être soumises à la loi HIPAA, et les clients ne doivent pas définir de balises Google Analytics sur les pages soumises à la loi HIPAA.
- Avec l'aide de votre équipe juridique, veuillez identifier les pages de votre site qui ne sont pas en rapport avec la fourniture de services de santé, afin que votre configuration de Google Analytics n'entraîne pas la collecte de données de santé protégées.