Selon The Markup, 33 des 100 hôpitaux les plus réputés aux États-Unis ont envoyé des données personnelles de patients à Facebook.
Ces informations ne semblent pas directement issues des dossiers, mais d’un outil de pistage nommé Meta Pixel et installé sur les sites web des structures. Sur son site officiel, l’outil est présenté comme permettant de vérifier l’efficacité des campagnes publicitaires.
Malheureusement, comme le montre l’enquête, les informations ainsi collectées peuvent aller loin. Pixel est en effet capable d’envoyer le résumé des actions d’une personne sur le site, notamment lors de la prise de rendez-vous.
Les questions posées pour préparer certains entretiens sont parfois très personnelles. Dans les captures publiées dans l’enquête, on peut par exemple voir des questions sur l’orientation sexuelle, l’identité de genre et celle assignée à la naissance. Les réponses apparaissent dans les informations envoyées à Facebook.
Le nom de la personne n’est a priori pas envoyé, mais les actions sont liées à une adresse IP qui, elle, peut identifier facilement quelqu’un dans la plupart des cas. Plus problématique encore, Pixel se retrouve même parfois dans les portails utilisateurs verrouillés par mot de passe, zone dans laquelle ils peuvent consulter les données déjà échangées avec l'hôpital.
Peu de structures ont accepté de répondre à The Markup, la plupart pour indiquer qu’elles ne voyaient pas le problème. Sept d’entre elles ont cependant annoncé avoir supprimé l’outil de leur site. Sur ces sept, cinq l’ont également supprimé de leur portail.
Commentaires (3)
#1
Ca serait intéressant de faire le même test avec Google Analytics.
#2
Des hôpitaux mettent de la pub sur leurs sites et on est surpris qu’il y ait des trackers?
#3
Le 27 Août 2019, le Süddeutsche Zeitung a publié un article concernant la Croix Rouge Bavaroise qui avait utilisé ce même service Pixel de Facebook associé au … questionnaire de qualification des donneurs de sang !!!
Le problème des données de santé “fuyant” vers FB n’est donc pas nouveau (au moins 3 ans).
Ce qui me surprend, c’est que de telles fuites de données surprennent en 2022.
Le problème est connu.
Une simple recherche sur Internet permet de se faire une idée des soucis.
Rédigeant régulièrement des spécifications utilisateur (URS) entre autres pour des applications web gérant des données de santé, je mentionne explicitement la nécessité d’audité (revue de code) les frameworks d’application utilisés pour s’assurer de l’absence de fuite de données vers des services tiers.
En outre - autant que possible - des mesures de blocages sont requises. Malheureusement si de telles mesures peuvent être aisément mises en place au niveau des serveurs, ces mesures ne peuvent pas être mises en place au niveau des clients (côté utilisateur).
La cyber(sécurité) et la protection des données personnelles requièrent de s’informer (pro)activement !