Login
Selon un nouveau rapport sur la cybersécurité, Google, Microsoft, Facebook, TikTok et la majorité des sites web consacrés à la médecine et aux soins de santé recueillent et vendent illégalement des informations privées sur la santé, malgré la répression fédérale de cette pratique.
Le rapport, réalisé par Feroot Security, une société de cybersécurité basée à Toronto, a analysé des centaines de sites web consacrés à la santé et a constaté que plus de 86 % d’entre eux collectent des données privées et les transfèrent à des annonceurs, des spécialistes du marketing et des sociétés de médias sociaux Big Tech sans le consentement de l’utilisateur et en violation des lois relatives à la protection de la vie privée.
Lorsque les patients ou les consommateurs naviguent sur leurs sites web médicaux préférés ou de confiance ou se connectent aux portails des hôpitaux pour accéder à leurs dossiers médicaux privés, des bouts de code HTML invisibles – appelés « pixels de suivi » – intégrés aux sites web récoltent des informations privées, telles que le fait de savoir si les patients ont un cancer, des troubles de l’érection ou s’ils sont en retard dans le paiement de leur facture d’hôpital.
Selon le rapport, les informations sont reconditionnées et vendues à des fins diverses, notamment à des entreprises qui ciblent les utilisateurs individuels avec des publicités sur l’internet.
Le risque de récupération des données personnelles est particulièrement élevé sur les pages de connexion et d’enregistrement, où les internautes fournissent des tonnes d’informations, sans savoir qu’elles sont détournées et vendues. L’étude révèle que plus de 73 % des pages de connexion et d’inscription comportent des traceurs invisibles qui piratent des informations personnelles sur la santé.
Environ 15 % des pixels de suivi analysés par Feroot enregistrent les frappes des utilisateurs, recueillant ainsi les numéros de sécurité sociale, les noms d’utilisateur et les mots de passe, les informations bancaires et relatives aux cartes de crédit, ainsi qu’une variété infinie de données personnelles sur la santé, y compris les diagnostics et les traitements médicaux.
L’étude a montré que « Google est le collecteur dominant absolu » de données. Quatre-vingt-douze pour cent des sites web chargés sur le moteur de recherche Google contenaient une technologie de collecte de données dans de vastes secteurs de l’économie américaine, notamment les soins de santé et la télésanté, les services bancaires et financiers, les compagnies aériennes, le commerce électronique, ainsi que le gouvernement fédéral et les gouvernements des États.
Le deuxième contrevenant est Microsoft, avec 50,4 % des sites web sur sa plateforme qui cachent des outils de suivi, suivi de Facebook avec 50,2 % et de TikTok avec 7,41 % et une croissance rapide.
Google, en tant que moteur de sa société mère Alphabet, quatrième entreprise mondiale, est souvent considérée comme « l’entreprise la plus puissante du monde ». Elle tire 80 % de ses revenus de la publicité, l’un des piliers de l’économie numérique mondiale.
Microsoft et Facebook « complètent le top 3 » des entreprises qui violent systématiquement les données, selon le rapport.
Les représentants de Google, Microsoft et Facebook ont nié que leurs entreprises utilisaient des pixels de suivi pour collecter des données personnelles.
Les propriétaires de sites web sont responsables du contrôle de la collecte des données, a déclaré un porte-parole de Google. La politique de Google interdit à Google Analytics et à ses clients publicitaires, y compris par exemple les sites web d’hôpitaux ou de télésanté, de collecter des données sur la santé en violation de la loi américaine HIPAA (Health Insurance Portability and Accountability Act). Il appartient aux sites web de déterminer « s’ils sont des entités réglementées par l’HIPAA et quelles sont leurs obligations en vertu de l’HIPAA », selon les règles de Google.
Les données de santé personnelles collectées par un tracker ou un tiers sans le consentement de l’utilisateur constituent une violation de la loi HIPAA, a déclaré Ivan Tsarynny, PDG de Feroot.
Les grandes entreprises technologiques « ont des politiques qui traitent de la protection des informations sur la santé », a déclaré M. Tsarynny. Mais « l’application de ces politiques dans le monde réel est une autre histoire ».
L’étude de Feroot intervient alors que « l’inquiétude grandit concernant les sociétés d’extraction de données qui utilisent des pixels/traceurs qui se chargent dans les navigateurs à partir de sites web pour collecter des données sur la vie privée et des données sensibles sur les utilisateurs », indique le rapport.
« Les régulateurs de conformité et les autorités gouvernementales interviennent de plus en plus souvent en imposant des interdictions, des restrictions et des ordres exécutifs pour les limiter. »
Dix-huit grands systèmes hospitaliers ont été poursuivis en justice cette année pour avoir partagé des données de santé sensibles de patients avec Google, Facebook et d’autres géants de la technologie, en violation des lois sur la protection de la vie privée, selon Becker’s Hospital Review.
Il s’agit notamment de grands centres médicaux universitaires tels que le centre médical de l’université de Pittsburgh, le centre médical de l’université de Chicago, le centre médical de l’université de l’Iowa, le Northwestern Memorial Hospital de Chicago et le centre médical de l’université de Californie à San Francisco.
Suite aux inquiétudes croissantes concernant le vol de données et à l’article,« Out of Control: Dozens of Telehealth Startups Sent Sensitive Health Information to Big Tech Companies », Feroot a lancé une enquête « pour déterminer l’ampleur exacte et l’omniprésence des pixels/traceurs des médias sociaux qui collectent et transfèrent des données personnelles, sensibles et privées à l’aide de pixels ou de traceurs ».
La plateforme de sécurité que Feroot vend aux entreprises « a permis d’obtenir des informations détaillées sur l’e-skimming actif côté client », a déclaré la société.
Feroot a collecté des données sur les pixels/traceurs pendant une période de huit semaines en janvier et février.
L’entreprise a déclaré avoir examiné plus de 3 675 organisations ayant des sites web uniques dans sept secteurs économiques. Elle a étudié 108 836 pages web uniques, dont des pages de connexion, d’enregistrement et de traitement des cartes de crédit particulièrement vulnérables, 227 traceurs et 7 millions de transferts de données.
Principales conclusions de l’étude « Beware of Pixels & Trackers » :
- Les traceurs de pixels sont « courants et abondants » – une moyenne de 13,16 pixels/traceurs a été trouvée par site web, « Google, Microsoft, Meta (propriétaire de Facebook), ByteDance (propriétaire de TikTok) et Adobe étant parmi les plus courants ».
- Les pages web « critiques », telles que les pages de connexion ou d’enregistrement, augmentent le risque d’exposition d’informations privées. En moyenne, 5,96 % des sites web avaient des pixels/traceurs sur les pages web qui lisaient les formulaires d’entrée de l’utilisateur contenant des données confidentielles ou sensibles.
- Les pixels traceurs transfèrent des données vers des sites étrangers dans le monde entier – « environ 5 % des données transférées par les pixels/traceurs chargés à partir de sites web basés aux États-Unis sont envoyées en dehors des États-Unis ».
- Les traceurs de pixels collectent et transfèrent des données sans avoir obtenu au préalable le consentement explicite des visiteurs.
- Les pixels et les traceurs sont chargés à partir de domaines interdits par le gouvernement des États-Unis et divers États américains, et même à partir de certains de ces mêmes gouvernements, y compris la Russie et la Chine. Les données obtenues par les sites web russes et chinois représentent un risque pour la sécurité en raison de la surveillance et de l’espionnage.
- Meta (propriétaire de Facebook et d’Instagram) et TikTok, propriété de la société chinoise ByteDance, étaient « particulièrement inquiétants » en raison des risques d’atteinte à la vie privée et de surveillance. Trente-quatre États américains, contrôlés par les républicains et les démocrates, ont interdit l’utilisation de TikTok sur les appareils gouvernementaux. En mai, le Montana a interdit l’application sur tous les appareils personnels.
- TikTok est souvent présent, que l’application TikTok soit supprimée ou non. Les pixels/traceurs de TikTok peuvent toujours « se charger dans les pages web qui traitent des données utilisateur critiques et peuvent les collecter et les transférer ».
L’affaire GoodRX met en lumière la tromperie des entreprises en matière de partage de données
Alors que les entreprises risquent de perdre leurs bénéfices et leur réputation à la suite d’une violation de données ou de se voir infliger des amendes, les particuliers sont confrontés à une perte de vie privée potentiellement catastrophique lorsque les principaux sites web consacrés à la santé recueillent et vendent leurs informations, selon la Commission fédérale du commerce [Federal Trade Commission (FTC)].
En février, la FTC a infligé une amende au populaire site de médicaments à prix réduits et de télésanté GoodRx pour avoir « omis de signaler la divulgation non autorisée de données sur la santé des consommateurs à Facebook, Google et d’autres entreprises ».
L’action visant à « interdire à GoodRx de partager les informations de santé sensibles des consommateurs à des fins publicitaires » est la première action d’application de la FTC dans le cadre de sa règle sur la notification des atteintes à la santé [Health Breach Notification Rule].
« Les entreprises de santé numérique et les applications mobiles ne doivent pas tirer profit des informations de santé extrêmement sensibles et personnellement identifiables des consommateurs », a déclaré Samuel Levine, directeur du Bureau de la protection des consommateurs de la FTC, dans un communiqué de presse publié à la suite du règlement. « La FTC notifie qu’elle utilisera toute son autorité légale pour protéger les données sensibles des consommateurs américains contre une utilisation abusive et une exploitation illégale. »
L’action de la FTC contre GoodRx a révélé un exemple particulièrement flagrant, mais pas rare, de la manière dont les sites web médicaux et de santé des entreprises trahissent la confiance des patients et manipulent leurs données, a déclaré la FTC.
Selon la plainte de la FTC, GoodRx a violé la loi en partageant de manière inappropriée des informations personnelles sensibles sur la santé depuis au moins 2017, bien qu’elle ait promis le contraire.
La société « a promis de manière trompeuse à ses utilisateurs qu’elle ne partagerait jamais d’informations de santé personnelles avec des annonceurs ou d’autres tiers », a accusé la FTC, et a affiché de manière trompeuse un sceau au bas de la page d’accueil de ses services de télésanté « suggérant faussement aux consommateurs qu’elle se conformait à … l’HIPAA ».
En réalité, selon la plainte de la FTC, GoodRx « a monétisé les informations de santé personnelles de ses utilisateurs, et a utilisé les données qu’elle a partagées avec Facebook pour cibler les propres utilisateurs de GoodRx avec des publicités personnalisées spécifiques à la santé et aux médicaments sur Facebook et Instagram ».
Par exemple, en août 2019, GoodRx a dressé des listes de ses utilisateurs « qui avaient acheté des médicaments particuliers, tels que ceux utilisés pour traiter les maladies cardiaques et la pression artérielle, et a téléchargé leurs adresses électroniques, leurs numéros de téléphone et leurs identifiants de publicité mobile sur Facebook afin qu’il puisse identifier leurs profils », selon la plainte.
« GoodRx a ensuite utilisé ces informations pour cibler ces utilisateurs avec des publicités liées à la santé. »
Les personnes qui accédaient aux coupons GoodRx pour acheter, par exemple, du Viagra, voyaient des publicités pour des médicaments contre les troubles de l’érection sur leurs pages Facebook ou Instagram, indique la FTC.
« De même, les personnes ayant utilisé les services de télésanté de GoodRx pour se faire traiter pour des maladies sexuellement transmissibles recevaient des publicités pour des services de dépistage des MST. »
GoodRx a communiqué à Facebook les données relatives aux achats de médicaments qu’elle reçoit des gestionnaires de prestations pharmaceutiques et a également utilisé ces données pour cibler des publicités.
En utilisant la plateforme de ciblage publicitaire de Facebook, « GoodRx a conçu des campagnes qui ciblaient les clients avec des publicités basées sur leurs informations de santé. Par exemple, si un client avait révélé à GoodRx un éventuel problème de dysfonctionnement érectile, il aurait pu voir sur Facebook une publicité telle que la pièce à conviction A de la plainte de la FTC ».
En février, la société californienne GoodRx, dont le chiffre d’affaires s’élève à 2,1 milliards de dollars, a payé une amende civile de 1,5 million de dollars à la FTC pour régler la plainte et a nié tout acte répréhensible.
Howard Danzig, fondateur et président de Employers Committed to Control Health Insurance Costs, a déclaré que « l’amende de 1,5 million de dollars infligée à GoodRx n’est même pas une tape sur les doigts. Alors que de nombreux employeurs sont très vigilants quant au respect des directives de la loi HIPAA sur la protection de la vie privée, les grandes entreprises technologiques bénéficient d’un passe-droit ».
« Que diriez-vous de sanctions importantes pour Facebook, Google et tous ceux qui ont bénéficié de ces informations ? », a-t-il écrit sur sa page LinkedIn, qui compte près de 9 000 adeptes.
« Pourquoi ne pas déterminer si des infractions pénales ont été commises à l’encontre des personnes qui ont collaboré à la réalisation de ce projet ? Pourquoi ne pas demander des REPARATIONS aux entreprises concernées pour les personnes et les clients dont la vie privée a été violée ? »
La violation de données s’est produite à des « fins publicitaires », a-t-il indiqué. « Jusqu’où cela peut-il aller et jusqu’où cela a-t-il été fait ? »