Des journalistes d’investigation enquêtant sur des allégations d’utilisation abusive de données sensibles d’Européens ont découvert que des sites web de santé partageaient illégalement des informations personnelles avec des sociétés de ciblage publicitaire, notamment Google, Amazon et Facebook.
Les données personnelles partagées sans le consentement explicite des utilisateurs – une exigence de la législation européenne sur la protection des données – comprennent les symptômes médicaux, les informations diagnostiques, ainsi que les noms des médicaments.
Les journalistes du Financial Times (FT) ont utilisé un outil d’analyse baptisé WebXray pour analyser 100 sites Web de santé, dont WebMD, Healthline et Babycentre, selon un article intitulé « How top health websites are sharing sensitive data sharing with advertisers ».
L’enquête du FT a révélé que 79 % des sites ont installé des « cookies » sur les ordinateurs des utilisateurs sans leur consentement. En Europe, les sites Web sont légalement tenus d’obtenir l’autorisation explicite d’installer des morceaux de code qui permettent à des sociétés tierces de suivre l’activité en ligne de leurs utilisateurs.
L’informaticien Tim Libert, qui a créé l’outil open-source WebXray que le FT a utilisé dans son enquête, a déclaré à la publication que le problème est que les entreprises peuvent utiliser l’information médicale pour s’attaquer aux personnes malades et vulnérables.
« Il y a tout un système qui cherchera à profiter de vous parce que vous êtes dans un état compromis. Je trouve cela moralement répugnant « , a déclaré Tim Libert au FT.
Il a dit que les personnes dont le profil est établi en fonction de leur état de santé présumé pourraient faire l’objet de discrimination.
« A mesure que les dépenses médicales laissent beaucoup de gens dépenser moins dans le luxe, ces utilisateurs peuvent être séparés dans des « silos de données » d’indésirables qui sont ensuite exclus des offres et des prix avantageux » souligne Tim Libert. « C’est une forme subtile, mais réelle, de discrimination contre ceux qui sont perçus comme malades. »
Protection des données en Europe
En mai 2018, l’UE a adopté le règlement général sur la protection des données (RGPD), qui soumet les commerçants en ligne à des contraintes plus strictes.
En vertu des nouvelles règles, il est interdit aux annonceurs de partager des données de « catégorie spéciale » sans consentement explicite, dans lequel l’utilisateur est informé de la manière dont ses données sensibles seront utilisées et par qui.
Selon le British Information Commissioner’s Office, une autorité indépendante créée pour défendre les droits à l’information dans l’intérêt public, les données de « catégorie spéciale » « sont plus sensibles et doivent donc être mieux protégées ».
« Il y a 10 conditions pour le traitement des données des catégories spéciales dans le RDGP lui-même, mais la Loi de 2018 sur la protection des données introduit des conditions et des garanties supplémentaires « , a déclaré l’agence.
L’agence note que les données de « catégorie spéciale » comprennent les données suivantes : race, origine ethnique, politique, religion, appartenance syndicale, génétique, biométrie (lorsqu’elle est utilisée pour l’identification), santé, vie sexuelle ou orientation sexuelle.
« En particulier, ce type de données pourrait créer des risques plus importants pour les droits et libertés fondamentaux d’une personne. Par exemple, en les exposant à un risque de discrimination illégale « , note-t-il.
Le FT a écrit dans son rapport qu’aucun des sites Web testés ne demandait le type de consentement explicite et détaillé requis par la loi.
Vie privée internationale
Le rapport fait suite aux conclusions antérieures du groupe de défense de la confidentialité des données «Privacy International », qui a examiné les habitudes de collecte de données de 136 pages Web populaires sur la santé mentale en France, en Allemagne et au Royaume-Uni.
Dans une publication intitulée « Votre santé mentale à vendre », le groupe a noté ses conclusions selon lesquelles les sites Web de santé mentale examinaient les données personnelles sensibles des utilisateurs partagés avec des annonceurs sans le consentement requis.
Les données sensibles suivies et partagées avec des tiers spécialistes du marketing comprennent des renseignements provenant de sites Web sur la dépression et les résultats de tests de santé mentale en ligne.
« Nos conclusions montrent que de nombreux sites Web de santé mentale ne prennent pas la vie privée de leurs visiteurs aussi au sérieux qu’ils le devraient « , écrit Privacy International dans son rapport. « Cette recherche montre également que certains sites de santé mentale traitent les données personnelles de leurs visiteurs comme une marchandise, tout en ne respectant pas leurs obligations en vertu des lois européennes sur la protection des données et de la vie privée.
Les régulateurs testent l’accord Google-Ascension
Un organisme de réglementation fédéral américain a entamé une enquête sur un accord d’informatique dans le Cloud entre Google d’Alphabet Inc et Ascension Health, qui permettrait à Google d’accéder à des informations détaillées sur la santé de millions de patients, a rapporté mardi The Wall Street Journal.
Le Bureau des droits civils du ministère de la Santé et des Services sociaux examinera la collecte de données pour s’assurer que le partenariat est conforme à la Loi sur la transférabilité et la responsabilité en matière d’assurance maladie (HIPAA) qui protège les renseignements médicaux, selon le Journal.
Lundi, Google a déclaré que les données des patients « ne peuvent pas et ne seront pas combinées avec les données des consommateurs de Google ».
Quelques heures après la révélation du projet secret, les deux sociétés ont annoncé leur collaboration dans un communiqué de presse, dans lequel elles annonçaient que le projet conjoint verrait les données d’Ascension transférées sur la plate-forme Cloud de Google.
Le partenariat explorera l’intelligence artificielle et les applications d’apprentissage automatique pour aider à améliorer la qualité et l’efficacité cliniques, la sécurité des patients et la satisfaction des consommateurs et des fournisseurs, selon l’énoncé.
Tariq Shaukat, président de Google Cloud, a déclaré : » En travaillant en partenariat avec des systèmes de santé de pointe comme Ascension, nous espérons transformer la prestation des soins de santé grâce à la puissance du cloud, à l’analyse de données, à l’apprentissage machine et aux outils de productivité modernes – améliorant ainsi les résultats, réduisant les coûts et sauvant des vies.
Ascension a également déclaré que son travail avec Google avait été conforme à la Health Insurance Portability and Accountability Act 1996 (HIPAA) et « soutenu par un effort solide de sécurité et de protection des données et le respect des exigences strictes de l’Ascension pour le traitement des données ».
https://www.ft.com/content/0fbf4d8e-022b-11ea-be59-e49b2a136b8d?sharetype=blocked
