Selon une enquête menée par The Markup, de nombreux sites Web hospitaliers américains disposent d’un outil de suivi qui envoie des informations médicales sensibles à Facebook lorsque les gens prennent rendez-vous.
The Markup a découvert que 33 des 100 premiers hôpitaux des États-Unis utilisaient un traceur appelé Meta Pixel sur leurs sites Web. L’installation du Meta Pixel permet aux groupes d’accéder à des analyses sur les publicités Facebook et Instagram, mais aussi de suivre la façon dont les gens utilisent leurs sites Web : les boutons sur lesquels ils cliquent, les informations qu’ils mettent dans les formulaires, etc.
Sur les sites Web des hôpitaux, cela pourrait inclure des informations de santé sensibles reliées à l’adresse IP d’un patient. De plus, le fait de cliquer sur le bouton de prise de rendez-vous envoie à Facebook le nom du médecin et le motif — généralement la maladie — pour laquelle le rendez-vous était prévu.
Dans 7 systèmes, le Meta Pixel était installé dans les portails des patients, qui nécessitent une connexion et comprennent des dossiers de santé détaillés. The Markup a découvert que Facebook obtenait des informations sur le nom du médecin et l’heure du rendez-vous d’un patient et sur les réactions allergiques d’un autre à des médicaments spécifiques.
En vertu de la loi sur la confidentialité des données médicales, le Health Insurance Portability and Accountability Act, ou HIPAA, les hôpitaux ne sont pas autorisés à partager des informations de santé identifiables avec des tiers sans le consentement des patients. Ils peuvent utiliser et partager des données anonymes (et le font souvent). Mais les informations liées à une adresse IP peuvent classer les données comme des informations de santé identifiables, qui bénéficient de protections supplémentaires. « Même s’il y a peut-être quelque chose dans l’architecture juridique qui permet que cela soit légal, cela va totalement à l’encontre de ce que les patients pensent que les lois sur la protection de la vie privée en matière de santé font pour eux », a déclaré à The Markup Glenn Cohen, directeur de la faculté du Petrie-Flom Center for Health Law Policy, Biotechnology, and Bioethics de la Harvard Law School.
Facebook a des filtres…
Un porte-parole de Meta a déclaré à The Markup que Facebook dispose de filtres qui détectent et suppriment les données de santé sensibles envoyées par les entreprises. Il n’est pas clair si les données envoyées par les sites Web des hôpitaux ont été ou non détectées par ces filtres. Mais les filtres ne fonctionnent pas toujours comme prévu. Une autre enquête de The Markup a révélé que des détails sur des personnes cherchant des informations sur l’avortement ou les contraceptifs d’urgence (qui ne sont pas censés être envoyés à Facebook) se sont retrouvés sur la plateforme.
Sept hôpitaux ont retiré le Meta Pixel de leurs sites Web en réponse aux conclusions de The Markup, tout comme au moins cinq des hôpitaux ayant le traceur dans leur portail patient.
Maintenant, reste à savoir si une telle pratique se fait en France !