Par Mike Capuzzo

Google, Microsoft, Facebook, TikTok et la plupart des sites Web de politiques médicales et de santé collectent et vendent illégalement des informations privées sur la santé malgré la répression de cette pratique par les autorités fédérales, selon un nouveau rapport sur la cybersécurité de Feroot Security.

Google, Microsoft, Facebook, TikTok et la plupart des sites Web médicaux et de santé collectent et vendent illégalement des informations privées sur la santé malgré la répression fédérale contre cette pratique, selon un nouveau rapport sur la cybersécurité.

Le rapport de la société de cybersécurité Feroot Security, basée à Toronto, a analysé des centaines de sites Web de soins de santé et a révélé que plus de 86 % des sites collectent des données privées et les partagent avec des annonceurs, des spécialistes du marketing et des entreprises de grande technologie sans le consentement des utilisateurs et en violation des lois sur la confidentialité. réseaux sociaux.

Lorsque les patients ou les consommateurs parcourent leurs sites Web médicaux préférés ou de confiance ou se connectent aux portails des hôpitaux pour accéder à leurs informations de santé privées, des codes HTML invisibles intégrés dans les sites Web – appelés « pixels de suivi » – collectent des informations privées, telles que : B. si les patients souffrent de cancer ou de dysfonction érectile ou sont en retard sur leurs factures d'hôpital.

Les informations sont reconditionnées et vendues à diverses fins, notamment à des entreprises qui ciblent des utilisateurs individuels avec de la publicité sur Internet, indique le rapport.

Le risque de collecte de données personnelles est particulièrement élevé sur les pages de connexion et d’inscription, où les internautes saisissent une multitude d’informations sans savoir qu’elles sont collectées et vendues. Plus de 73 % des pages de connexion et d’inscription contiennent des trackers invisibles qui espionnent les données personnelles de santé, selon l’étude.

Environ 15 % des pixels de suivi analysés par Feroot enregistrent les frappes au clavier des utilisateurs et collectent les numéros de sécurité sociale, les noms d'utilisateur et les mots de passe, les informations de carte de crédit et bancaires, ainsi qu'une variété infinie d'informations personnelles sur la santé, y compris les diagnostics et traitements médicaux.

L’étude a montré que Google est le collecteur de données absolument dominant.» Quatre-vingt-douze pour cent des sites Web chargés via le moteur de recherche de Google contenaient des technologies utilisées pour collecter des données sur de larges secteurs de l'économie américaine, notamment les soins de santé et la télémédecine, les services bancaires et financiers, les compagnies aériennes, le commerce électronique et les gouvernements fédéral et étatiques.

En deuxième position se trouve Microsoft avec 50,4 % de sites Web sur sa plateforme cachant des outils de suivi, suivi de Facebook avec 50,2 % et de TikTok avec 7,41 %, et ce nombre augmente rapidement.

Google, le moteur de sa société mère Alphabet, quatrième entreprise mondiale, est souvent qualifié de « l’entreprise la plus puissante du monde ». L'entreprise génère 80 % de ses revenus grâce à la publicité, élément vital de l'économie numérique mondiale.

Microsoft et Facebook « complètent le top trois » des entreprises qui violent systématiquement les données, selon le rapport.

Les représentants de Google, Microsoft et Facebook ont ​​nié que leurs entreprises utilisent des balises Web pour collecter des informations personnelles.

Un porte-parole de Google a déclaré que les propriétaires de sites Web sont responsables du contrôle de la collecte des données. Les politiques de Google interdisent à Google Analytics et aux annonceurs, tels que B. Hôpitaux ou sites Web de télémédecine pour collecter des données de santé en violation de la loi américaine sur la portabilité et la responsabilité de l'assurance maladie (HIPAA). Il est de la responsabilité des sites Web de déterminer s’ils sont des entités réglementées par la HIPAA et quelles sont leurs obligations en vertu de la HIPAA », indique la politique de Google.

Les informations personnelles sur la santé collectées par un tracker ou un tiers sans le consentement de l'utilisateur constituent une violation de la HIPAA, selon Ivan Tsarynny, PDG de Feroot.

Les grandes entreprises technologiques ont des politiques qui parlent de protection des données de santé », a déclaré Tsarynny. Mais « l’application de ces politiques dans le monde réel est une autre histoire ».

L'étude de Feroot intervient à un moment où « l'inquiétude grandit concernant les sociétés d'exploration de données qui utilisent des pixels/trackers chargés dans le navigateur par des sites Web pour collecter des données privées et sensibles sur les utilisateurs », selon le rapport.

« Les régulateurs et les agences gouvernementales interviennent de plus en plus pour les freiner avec des interdictions, des restrictions et des décrets.

Selon le Becker's Hospital Review, dix-huit grands hôpitaux ont été poursuivis en justice cette année pour avoir partagé les données sensibles de santé de leurs patients avec Google, Facebook et d'autres géants de la technologie, en violation des lois sur la protection de la vie privée.

Il s'agit notamment de centres médicaux universitaires bien connus tels que le centre médical de l'Université de Pittsburgh, le centre médical de l'Université de Chicago, le centre médical de l'Université de l'Iowa, le Northwestern Memorial Hospital de Chicago et le centre médical de l'Université de Californie à San Francisco.

Poussé par les inquiétudes croissantes concernant le vol de données et par l'article « « Hors de contrôle » : des dizaines de startups de télésanté envoient des données de santé sensibles aux grandes entreprises technologiques », Feroot a lancé une enquête pour déterminer l'étendue et la prévalence exactes des pixels des réseaux sociaux/identifier les trackers. qui collectent et transmettent des données personnelles, sensibles et privées à l'aide de pixels ou de trackers.

La plateforme de sécurité que Feroot vend aux entreprises « a permis d’obtenir des informations détaillées sur l’écrémage électronique actif côté client », a déclaré la société.

Feroot a collecté des données de pixels/trackers pendant une période de huit semaines en janvier et février.

La société a déclaré avoir examiné plus de 3 675 organisations dotées de sites Web uniques dans sept secteurs économiques. L'étude a examiné 108 836 sites Web uniques, dont des pages de connexion, d'enregistrement et de traitement des cartes de crédit particulièrement vulnérables, 227 trackers et 7 millions de transferts de données.

Les principales conclusions de « Attention aux pixels et aux trackers » :

• Les trackers de pixels sont « répandus et nombreux » – une moyenne de 13,16 pixels/trackers ont été trouvés par site Web, « avec Google, Microsoft, Meta (propriétaire de Facebook), ByteDance (propriétaire de TikTok) et Adobe parmi les plus courants ».
• Sites Web « critiques pour l’entreprise », tels que : Certains sites Web, tels que les pages de connexion ou d'inscription, augmentent le risque de divulgation d'informations privées. En moyenne, 5,96 % des sites Web avaient des pixels/trackers sur les pages Web lisant les formulaires de soumission des utilisateurs contenant des données privées ou sensibles.
• Les trackers de pixels transmettent des données à des endroits étrangers dans le monde – « environ 5 % des données transmises par les pixels/trackers chargés par les sites Web basés aux États-Unis sont envoyées en dehors des États-Unis ».
• Les trackers de pixels collectent et transmettent des données sans obtenir au préalable le consentement explicite des visiteurs.
• Les pixels et les trackers sont chargés à partir de domaines interdits par le gouvernement américain et divers États américains, et même par certains de ces gouvernements, dont la Russie et la Chine. Les données provenant de sites Web russes et chinois présentent un risque de sécurité en raison de la surveillance et de l'espionnage.
• Meta (propriétaire de Facebook et Instagram) et TikTok, propriété de la société chinoise ByteDance, étaient « particulièrement préoccupantes » car elles portent atteinte à la vie privée et présentent un risque de surveillance. Trente-quatre États américains, contrôlés à la fois par les républicains et les démocrates, ont interdit l’utilisation de TikTok sur les appareils gouvernementaux. Montana a interdit l'application sur tous les appareils personnels en mai.
• TikTok est souvent présent, que l'application TikTok soit supprimée ou non. Les pixels/trackers TikTok peuvent toujours être « chargés sur des sites Web qui traitent les données utilisateur critiques pour l’entreprise et peuvent les collecter et les transmettre ».

L'affaire GoodRX met en lumière la tromperie des entreprises en matière de partage de données

Alors que les entreprises subissent une perte de profits et de réputation en raison de violations de données ou d'amendes pour celles-ci, les individus sont confrontés à une perte de confidentialité potentiellement catastrophique lorsque les principaux sites Web de soins de santé collectent et vendent leurs données, selon la Federal Trade Commission (FTC).

En février, la FTC a infligé une amende au fournisseur populaire de médicaments à prix réduit et de télémédecine GoodRx pour avoir omis de signaler son partage non autorisé de données de santé à Facebook, Google et d'autres sociétés.

L'action, qui interdisait à GoodRx de divulguer des informations sensibles sur la santé des consommateurs à des fins publicitaires, était la première mesure coercitive de la FTC en vertu de sa règle de notification des violations en matière de santé.

"Les entreprises de santé numérique et les applications mobiles ne devraient pas gagner d'argent avec les données de santé hautement sensibles et personnellement identifiables des consommateurs", a déclaré Samuel Levine, directeur du Bureau de protection des consommateurs de la FTC, dans un communiqué de presse suite au règlement. "La FTC annonce qu'elle utilisera toute son autorité légale pour protéger les données sensibles des consommateurs américains contre toute utilisation abusive et illégale."

L'application de la loi par la FTC à l'encontre de GoodRx montre un exemple particulièrement flagrant, mais pas inhabituel, de la façon dont les sites Web d'entreprises de santé et de médecine abusent de la confiance des patients et manipulent leurs données, a déclaré la FTC.

Selon la plainte de la FTC, GoodRx a violé la loi en partageant de manière inappropriée des informations personnelles sensibles sur la santé depuis au moins 2017, bien qu'il ait promis le contraire.

La société "a promis de manière trompeuse à ses utilisateurs qu'elle ne partagerait jamais d'informations personnelles sur la santé avec des annonceurs ou d'autres tiers", affirme la FTC, et a affiché de manière trompeuse un sceau au bas de la page d'accueil de ses services de télésanté "que les consommateurs suggèrent faussement qu'elle se conforme à la HIPAA". .»

En réalité, affirme la plainte de la FTC, GoodRx « a monétisé les informations personnelles sur la santé de ses utilisateurs et a utilisé les données partagées avec Facebook pour cibler les propres utilisateurs de GoodRx avec des publicités personnalisées sur la santé et les médicaments sur Facebook et Instagram ».

En août 2019, GoodRx a créé des listes de ses utilisateurs « qui avaient acheté certains médicaments, par ex. B. pour le traitement des maladies cardiaques et de la tension artérielle, et ont téléchargé leurs adresses e-mail, numéros de téléphone et identifiants de publicité mobile sur Facebook pour identifier leurs profils », indique la plainte.

"GoodRx a ensuite utilisé ces informations pour cibler ces utilisateurs avec des publicités liées à la santé."

Les personnes qui ont accédé aux coupons GoodRx pour acheter du Viagra, par exemple, ont vu des publicités pour le médicament contre la dysfonction érectile sur leurs pages Facebook ou Instagram, a indiqué la FTC.

"De même, les personnes qui utilisaient les services de télémédecine de GoodRx pour rechercher un traitement contre des maladies sexuellement transmissibles ont vu des publicités pour le dépistage des MST."

GoodRx a fourni à Facebook les données d'achat de médicaments qu'il reçoit des directeurs de pharmacie et a également utilisé ces données à des fins de publicité ciblée.

En utilisant la plateforme publicitaire de Facebook, a déclaré la FTC, GoodRx a conçu des campagnes ciblant les clients avec des publicités basées sur leurs informations de santé. Par exemple, si un client avait signalé un éventuel problème de dysfonction érectile à GoodRx, il aurait pu voir une publicité sur Facebook comme celle répertoriée comme pièce A dans la plainte de la FTC.

En février, GoodRx, une société californienne de 2,1 milliards de dollars, a payé une amende civile de 1,5 million de dollars à la FTC pour régler la plainte et a nié tout acte répréhensible.

Howard Danzig, fondateur et président d'Employeurs engagés à contrôler les coûts de l'assurance maladie, a déclaré : « L'amende de 1,5 million de dollars de GoodRx n'est même pas une tape sur les doigts. Alors que de nombreux employeurs se conforment scrupuleusement aux lois sur la confidentialité HIPAA, les grandes entreprises technologiques s’en sortent essentiellement indemnes.

"Que diriez-vous d'amendes importantes pour Facebook, Google et tous ceux qui ont bénéficié de ces informations ?", a-t-il écrit sur sa page LinkedIn, qui compte près de 9 000 abonnés.

« Que diriez-vous de déterminer s’il y a des infractions pénales qui devraient être poursuivies contre les personnes qui ont réellement contribué à cela ? Qu’en est-il des « RÉPARATIONS » des entreprises impliquées envers les personnes et les clients dont la vie privée a été violée ? »

La violation de données a eu lieu à des « fins promotionnelles », a-t-il noté. « Jusqu’où pouvez-vous vraiment pousser cela et jusqu’où cela a-t-il déjà été poussé ? »