Facebook et des hôpitaux américains poursuivis pour avoir utilisé des données de santé

Indigostar

Afin de diffuser des publicités ciblées

Un recours collectif a été déposé dans le district nord de la Californie contre Meta (Facebook), le UCSF Medical Center et la Dignity Health Medical Foundation, alléguant que les organisations collectent illégalement des données de santé sensibles sur les patients à des fins de publicité ciblée. Ce suivi et cette collecte de données auraient lieu dans des portails médicaux au-delà des murs de connexion, où les patients saisissent des informations hautement sensibles sur eux-mêmes, leur état, les médecins, les médicaments prescrits, etc.

Selon la plainte, ni les hôpitaux ni Meta n’informent les patients de la collecte de données, aucun consentement de l’utilisateur n’est demandé et il n’y a aucune indication visible de ce processus.

Les plaignants ont réalisé la violation de leur vie privée lorsque Facebook, la plateforme de médias sociaux appartenant à Meta, a commencé à les cibler avec des publicités explicitement adaptées à leur état de santé.

Méta Pixel

Le Meta Pixel est un extrait de code qui suit les utilisateurs lorsqu’ils naviguent sur un site Web, en enregistrant les pages qu’ils visitent, les boutons sur lesquels ils cliquent et certaines informations qu’ils saisissent dans les formulaires. C’est l’un des outils de suivi les plus prolifiques sur Internet, présent sur plus de 30 % des sites les plus populaires sur le Web, selon une analyse de The Markup. Cette collecte de données a lieu pour tous les utilisateurs même s’ils n’ont pas de compte Facebook.

De plus, si un patient est connecté à Facebook lorsqu’il visite le site Web d’un hôpital où un Meta Pixel est installé, certains navigateurs attachent des cookies tiers - un autre mécanisme de suivi - qui permettent à Meta de lier des données de pixel à des comptes Facebook spécifiques.

Étant donné que Meta Pixel est installé sur de nombreux sites, les utilisateurs seront suivis et ciblés avec des publicités spécifiques sur plusieurs emplacements Internet.

En échange de l’installation de son pixel, Meta fournit aux propriétaires de sites Web des analyses sur les publicités qu’ils ont placées sur Facebook et Instagram et des outils pour cibler les personnes qui ont visité leur site Web.

Le Meta Pixel envoie des informations à Facebook via des scripts exécutés dans le navigateur Internet d’une personne, de sorte que chaque paquet de données est étiqueté avec une adresse IP qui peut être utilisée en combinaison avec d’autres données pour identifier un individu ou un ménage.

Une enquête récente de The Markup a trouvé Meta Pixel dans 30% des 80 000 sites Web les plus populaires, y compris plusieurs cliniques anti-avortement et d’autres prestataires de soins de santé. Durant l’enquête, The Markup a constaté - en utilisant à la fois des comptes Facebook factices créés par ses journalistes et des données de bénévoles du Mozilla Rally - que le Meta Pixel facilitait encore plus l’identification des patients.

Lorsque The Markup a cliqué sur le bouton « Terminer la réservation » sur la page d’un médecin de l’hôpital Scripps Memorial, le pixel a envoyé à Facebook non seulement le nom du médecin et son domaine de médecine, mais également le prénom, le nom, l’adresse e-mail, le numéro de téléphone, le code postal et la ville de résidence que The Markup a entrés dans le formulaire de réservation.

Le Meta Pixel a « haché » ces détails personnels - en les masquant par une forme de cryptographie - avant de les envoyer à Facebook. Mais ce hachage n’empêche pas Facebook d’utiliser les données. En fait, Meta utilise explicitement les informations hachées pour lier les données de pixels aux profils Facebook.

À l’aide d’un outil en ligne gratuit, The Markup a également pu inverser la plupart de ses informations de test hachées que le pixel sur le site Web du Scripps Memorial Hospital a envoyées à Facebook.

La plainte prétend que le code de suivi de Meta est présent sur 33 sites Web des 100 meilleurs hôpitaux des États-Unis, et dans sept cas, le code va au-delà des portails patients protégés par mot de passe. En fait, The Markup a testé les sites Web des 100 meilleurs hôpitaux américains de Newsweek et voici les résultats de leur enquête : « Sur 33 d’entre eux, nous avons trouvé le traceur, appelé Meta Pixel, envoyant à Facebook un paquet de données chaque fois qu’une personne cliquait sur un bouton pour planifier un rendez-vous chez le médecin. Les données sont connectées à une adresse IP - un identifiant qui ressemble à l’adresse postale d’un ordinateur et peut généralement être lié à une personne ou à un foyer spécifique - créant une réception intime de la demande de rendez-vous pour Facebook ».

La plupart des hôpitaux sur la première page qui avaient le traceur sur leurs sites web ne l’ont pas retiré après avoir été contacté par The Markup

Sur le site Web des hôpitaux universitaires de Cleveland Medical Center, par exemple, cliquer sur le bouton « Prendre rendez-vous en ligne » sur la page d’un médecin a incité le Meta Pixel à envoyer à Facebook le texte du bouton, le nom du médecin et le terme de recherche que The Markup a utilisé pour la trouver : « interruption de grossesse ».

En cliquant sur le bouton « Prendre rendez-vous en ligne » d’un médecin sur le site Web de l’hôpital Froedtert, dans le Wisconsin, le Meta Pixel a envoyé à Facebook le texte du bouton, le nom du médecin et la condition que The Markup a sélectionnée dans un menu déroulant : « Alzheimer ».

Selon la plainte, les 33 hôpitaux (qui disposaient d’un Meta Pixel sur leurs sites web) ont admis collectivement plus de 26 millions de patients (consultations comprises) rien qu’en 2020.

Atteinte à la vie privée

Dans des exemples de documents judiciaires, des patients ont reçu des publicités ciblées sur Facebook et également par e-mail, faisant la promotion de maladies et de services médicaux sans aucun soutien scientifique.

Email et publicité Facebook inclus dans la plainte

Plus important encore, les plaignants se sont sentis trahis car ils n’avaient jamais accepté la collecte de données médicales sensibles, et encore moins leur utilisation dans des publicités ciblées.

Meta a même une disposition à cet effet dans sa politique de confidentialité des données, stipulant que ses partenaires (hébergeurs du Meta Pixel) doivent disposer des droits légaux de collecte, d’utilisation et de partage des données des utilisateurs avant de les lui transmettre :

Cependant, comme mentionné dans la plainte*: « Les défendeurs du secteur de la santé n’ont pas le droit légal d’utiliser ou de partager les données des plaignants et des membres du groupe, car ces informations sont protégées par la loi de confidentialité de la loi de 1996 sur la portabilité et la responsabilité en matière d’assurance maladie (“HIPAA”), qui protège toutes les informations de santé protégées électroniquement, empêchant une entité couverte comme les défendeurs de soins de santé de “créer [], recevoir [], maintenir [] ou transmettre []” sous forme électronique ».

HIPAA répertorie les adresses IP comme l’un des 18 identifiants qui, lorsqu’ils sont liés à des informations sur l’état de santé, les soins ou le paiement d’une personne, peuvent qualifier les données d’informations de santé protégées. Contrairement aux données de santé anonymisées ou agrégées, les hôpitaux ne peuvent pas partager des informations de santé protégées avec des tiers, sauf en vertu des conditions strictes des accords d’associés commerciaux qui limitent la manière dont les données peuvent être utilisées.

En tant que tels, Meta et les prestataires de soins de santé sont accusés de savoir que leur opération de collecte de données était illégale, mais ils ont continué à le faire et l’ont caché aux personnes suivies.

Les efforts de Meta pour filtrer les informations médicales sensibles à partir des données collectées se sont avérés inefficaces, selon The Markup et le Département des services financiers de l’État de New York qui ont examiné cette question en février 2021.

En conclusion, les plaignants, au nom de toute personne dans une situation similaire, sollicitent des demandes de réparation concernant l’atteinte à la vie privée, la violation de la confidentialité des informations médicales, l’enrichissement sans cause, la rupture de contrat, la loi sur l’accès aux données informatiques et la fraude (CDAFA), et également la loi fédérale sur l’écoute électronique.

Conclusion d’ailleurs partagée par plusieurs entité. En effet, d’anciens régulateurs, des experts en sécurité des données de santé et des défenseurs de la vie privée qui ont examiné les conclusions de The Markup ont déclaré que les hôpitaux en question pourraient avoir enfreint la loi fédérale sur la portabilité et la responsabilité de l’assurance maladie (HIPAA). La loi interdit aux entités couvertes comme les hôpitaux de partager des informations de santé personnellement identifiables avec des tiers comme Facebook, sauf lorsqu’un individu a expressément consenti à l’avance ou en vertu de certains contrats.

Ni les hôpitaux ni Meta n’ont déclaré avoir de tels contrats en place, et The Markup n’a trouvé aucune preuve que les hôpitaux ou Meta obtenaient autrement le consentement exprès des patients.

« Je suis profondément troublé par ce que [les hôpitaux] font avec la capture de leurs données et leur partage », a déclaré David Holtzman, un consultant en matière de confidentialité de la santé qui a précédemment occupé le poste de conseiller principal en matière de confidentialité au Département américain de la santé et des droits humains et au Bureau des services pour les droits civils, qui applique HIPAA. « Je ne peux pas dire que [partager ces données] est à coup sûr une violation de la loi HIPAA. Mais il s’agit très probablement d’une violation de la loi HIPAA ».

Facebook lui-même n’est pas soumis à la HIPAA, mais les experts interrogés pour cette histoire ont exprimé des inquiétudes quant à la manière dont la grande enseigne de la publicité pourrait utiliser les données personnelles de santé qu’il collecte pour son propre profit.

« C’est un exemple extrême de la portée exacte des tentacules des grandes entreprises technologiques dans ce que nous considérons comme un espace de données protégé », a déclaré Nicholson Price, professeur de droit à l’Université du Michigan qui étudie les mégadonnées et les soins de santé. « Je pense que c’est effrayant, problématique et potentiellement illégal » du point de vue des hôpitaux.

The Markup n’a pas été en mesure de déterminer si Facebook utilisait les données pour des publicités ciblées, former ses algorithmes de recommandation ou tirer profit d’autres manières.

Sources : plainte, developpez.com

nlancien

Rassurez vous braves gens, en france on y est presque… Avec la collecte de données de santé par tous les bouts.

Quand a notre carnet de santé numérique qui sait ce que les toubibs vont en faire, ou pour combien ils vont le vendre.

duJambon

Ça alors, Meta, ne serait qu’une pompe à fric ? C’est vraiment étonnant.

Amusez-vous bien, braves gens, c’est gratuit, mais c’est vous qui payez quand même.

Raccoon

@nlancien a dit dans Facebook et des hôpitaux américains poursuivis pour avoir utilisé des données de santé :

Avec la collecte de données de santé par tous les bouts.

Tu as des infos sur ce sujet ?

duJambon

Déjà, en Suisse, c’est un privé qui a collecté les données pour le vaccin du covid, ils n’ont jamais dit non plus ce qu’ils allaient en faire.

Violence

@raccoon

Il parle peut être de la nouvelle plateforme santé accessible par les hôpitaux/médecins (ou à terme)

nlancien

@raccoon

• Mon espace de santé (Les toubibs sont rémunérés pour mettre tes infos perso dessus)
• Statut vaccinal (pas que le covid)
• Sans compter ce que les toubibs balancent pour les “enquêtes épidémiologiques”
• doctolib (Boite privée collectant les rancards des toubibs). C’est vrai que quand je vais chez le cardio, c’est parce que j’ai mal a la couille gauche…

Les rancard covid étaient pris chez… doctolib. Une boite privée placée a un endroit clé pour collecter pas mal de données.

J’ai au moins ces trois exemples là en tête. Sachant que l’état file a des boites privées la charge de mettre pas mal de trucs en oeuvre, et des boites basées à l’étranger, c’est moins cher).

Raccoon

@nlancien a dit dans Facebook et des hôpitaux américains poursuivis pour avoir utilisé des données de santé :

Mon espace de santé (Les toubibs sont rémunérés pour mettre tes infos perso dessus)
Statut vaccinal (pas que le covid)
Sans compter ce que les toubibs balancent pour les “enquêtes épidémiologiques”

Tout ça c’est hébergé à la CPAM.

nlancien

@raccoon
Et je dois faire confiance a tout ceux qui ont des accès? Ce sont des fichiers, conservés sans forcément notre accord, et les conditions nous sont imposées, et susceptibles de changer du jour au lendemain.
Sans compter que j’ai comme un gros doute sur le fait que tu puisse y avoir un accès
complet en lecture, je ne parle même pas de la rectification des données.

La CPAM les communique a qui, sous quelles conditions? Ce que tu dis a ton médecin est susceptible d’être rentré dans un fichier et…

Hébergé par la CPAM, c’est à dire sur les ordis de la CPAM, ou sur un cloud loué à l’étranger?

On a pas le choix de leur laisser des données ou pas. Ca me gonfle.
J’ai le choix, et je l’ai prit de ne pas avoir facebook, instgram & co, là non.
Et plus inquiétant, ils rémunère les toubibs pour remplir leur truc. Je n’ai jamais vu macron rémunérer gratuitement des gens. Il y a un intérêt quelque part.

N’importe qu’el toubib peut prélever des données et les vendre. Les ricains ont semble t il des preuves. C’est la seule différence que j’y vois avec la France.

Violence

@nlancien

Concernant le nouvel espace santé, tu as le choix de le supprimer ou non ou de t’y opposer. Du moins pour l’instant

Raccoon

@nlancien la CPAM a ses propres datacenters en France et pour y avoir bossé quelques mois (à la CPAM, pas dans leurs DC) j’ai été surpris de toute l’attention particulière apportée à la sécurité des données des citoyens et je peux t’assurer qu’ils ne sont pas nombreux à disposer d’un accès sur les bases de données.
Les toubibs ne peuvent pas extraire les données comme ils veulent. Pour s’authentifier ils doivent disposer d’une carte CPS nominative délivrée par l’ASIP Santé uniquement aux praticiens étant référencés à l’ordre des médecins. Toutes les connexions et lecture de données sont tracées et loggées, si un praticien fait du zèle en voulant télécharger en masse des dossiers patients, car c’est la quantité qui fait l’intérêt, il sera vite démasqué.

duJambon

Le bon coté de la médaille (voir la pub):

Chaque jour, à travers l’Europe, des millions de données médicales sont générées lors de la délivrance de soins. Pourtant, cette masse d’informations n’est pas exploitée au maximum de son potentiel.

L’espace européen des données de santé lancé en mai 2022 par la Commission européenne a pour ambition de combler cette lacune. Il rendra les informations plus accessibles aux patients et aux professionnels de santé dans leur pays et à l’étranger, mais il créera aussi les conditions techniques permettant de s’en servir en toute sécurité pour encourager la recherche et l’innovation.

Rappelons qu’il y a deux types d’usage des données de santé : une utilisation primaire, liée aux soins comme la consultation d’un médecin et une utilisation secondaire, en référence au traitement de ces informations dans des conditions sûres et confidentielles en vue d’élaborer des politiques ou d’améliorer des produits de santé par exemple.

— ndd c’est sans parler des bénéfices purement matériels qui constituent pour certains le 3 ème type, celui qui a le plus d’importance —

Source et plus: https://fr.euronews.com/next/2022/07/14/comment-le-partage-de-donnees-numeriques-booste-linnovation-dans-la-sante

A lire aussi: https://www.lexpress.fr/actualite/societe/on-m-a-dit-de-rentrer-chez-moi-les-services-d-urgence-plus-regules-que-jamais_2177816.html

BahBwah

@tristan-0
Je résiste encore et toujours mais je ne me fait pas d’illusions, ils vont tout faire pour compliquer la vie des non connectés comme moi (nous)…

duJambon

Dans une nouvelle ou un roman, je ne me souviens plus du titre, dans un futur totalement informatisé, la pire sanction qui pouvait être infligée était la privation d’ID, le citoyen devenait alors incapable d’acheter quoi que ce soit, de se nourrir, de se loger ou de se faire soigner. Les parias numériques n’étaient plus non plus protégés par la loi et la police.

Science-fiction ? Plus pour longtemps…

Ashura

Encore facebook, quand est ce que les gens vont comprendre

BahBwah

@ashura a dit dans Facebook et des hôpitaux américains poursuivis pour avoir utilisé des données de santé :

Encore facebook, quand est ce que les gens vont comprendre

Jamais…
C’est des gnous, y suivent, point…