
Selon la plainte, ni les hôpitaux ni Meta n'informent les patients de la collecte de données, aucun consentement de l'utilisateur n'est demandé et il n'y a aucune indication visible de ce processus.
Les plaignants ont réalisé la violation de leur vie privée lorsque Facebook, la plateforme de médias sociaux appartenant à Meta, a commencé à les cibler avec des publicités explicitement adaptées à leur état de santé.
Méta Pixel
Le Meta Pixel est un extrait de code qui suit les utilisateurs lorsqu'ils naviguent sur un site Web, en enregistrant les pages qu'ils visitent, les boutons sur lesquels ils cliquent et certaines informations qu'ils saisissent dans les formulaires. C'est l'un des outils de suivi les plus prolifiques sur Internet, présent sur plus de 30 % des sites les plus populaires sur le Web, selon une analyse de The Markup. Cette collecte de données a lieu pour tous les utilisateurs même s'ils n'ont pas de compte Facebook.
De plus, si un patient est connecté à Facebook lorsqu'il visite le site Web d'un hôpital où un Meta Pixel est installé, certains navigateurs attachent des cookies tiers - un autre mécanisme de suivi - qui permettent à Meta de lier des données de pixel à des comptes Facebook spécifiques.
Étant donné que Meta Pixel est installé sur de nombreux sites, les utilisateurs seront suivis et ciblés avec des publicités spécifiques sur plusieurs emplacements Internet.
En échange de l'installation de son pixel, Meta fournit aux propriétaires de sites Web des analyses sur les publicités qu'ils ont placées sur Facebook et Instagram et des outils pour cibler les personnes qui ont visité leur site Web.
Le Meta Pixel envoie des informations à Facebook via des scripts exécutés dans le navigateur Internet d'une personne, de sorte que chaque paquet de données est étiqueté avec une adresse IP qui peut être utilisée en combinaison avec d'autres données pour identifier un individu ou un ménage.
Une enquête récente de The Markup a trouvé Meta Pixel dans 30% des 80 000 sites Web les plus populaires, y compris plusieurs cliniques anti-avortement et d'autres prestataires de soins de santé. Durant l'enquête, The Markup a constaté - en utilisant à la fois des comptes Facebook factices créés par ses journalistes et des données de bénévoles du Mozilla Rally - que le Meta Pixel facilitait encore plus l'identification des patients.
Lorsque The Markup a cliqué sur le bouton « Terminer la réservation » sur la page d'un médecin de l'hôpital Scripps Memorial, le pixel a envoyé à Facebook non seulement le nom du médecin et son domaine de médecine, mais également le prénom, le nom, l'adresse e-mail, le numéro de téléphone, le code postal et la ville de résidence que The Markup a entrés dans le formulaire de réservation.
Le Meta Pixel a « haché » ces détails personnels - en les masquant par une forme de cryptographie - avant de les envoyer à Facebook. Mais ce hachage n'empêche pas Facebook d'utiliser les données. En fait, Meta utilise explicitement les informations hachées pour lier les données de pixels aux profils Facebook.
À l'aide d'un outil en ligne gratuit, The Markup a également pu inverser la plupart de ses informations de test hachées que le pixel sur le site Web du Scripps Memorial Hospital a envoyées à Facebook.
La plainte prétend que le code de suivi de Meta est présent sur 33 sites Web des 100 meilleurs hôpitaux des États-Unis, et dans sept cas, le code va au-delà des portails patients protégés par mot de passe. En fait, The Markup a testé les sites Web des 100 meilleurs hôpitaux américains de Newsweek et voici les résultats de leur enquête : « Sur 33 d'entre eux, nous avons trouvé le traceur, appelé Meta Pixel, envoyant à Facebook un paquet de données chaque fois qu'une personne cliquait sur un bouton pour planifier un rendez-vous chez le médecin. Les données sont connectées à une adresse IP - un identifiant qui ressemble à l'adresse postale d'un ordinateur et peut généralement être lié à une personne ou à un foyer spécifique - créant une réception intime de la demande de rendez-vous pour Facebook ».
La plupart des hôpitaux sur la première page qui avaient le traceur sur leurs sites web ne l'ont pas retiré après avoir été contactés par The Markup
Sur le site Web des hôpitaux universitaires de Cleveland Medical Center, par exemple, cliquer sur le bouton « Prendre rendez-vous en ligne » sur la page d'un médecin a incité le Meta Pixel à envoyer à Facebook le texte du bouton, le nom du médecin et le terme de recherche que The Markup a utilisé pour la trouver : « interruption de grossesse ».
En cliquant sur le bouton « Prendre rendez-vous en ligne » d'un médecin sur le site Web de l'hôpital Froedtert, dans le Wisconsin, le Meta Pixel a envoyé à Facebook le texte du bouton, le nom du médecin et la condition que The Markup a sélectionnée dans un menu déroulant : « Alzheimer ».
Selon la plainte, les 33 hôpitaux (qui disposaient d'un Meta Pixel sur leurs sites web) ont admis collectivement plus de 26 millions de patients (consultations comprises) rien qu'en 2020.
Atteinte à la vie privée
Dans des exemples de documents judiciaires, des patients ont reçu des publicités ciblées sur Facebook et également par e-mail, faisant la promotion de maladies et de services médicaux sans aucun soutien scientifique.
Email et publicité Facebook inclus dans la plainte
Plus important encore, les plaignants se sont sentis trahis, car ils n'avaient jamais accepté la collecte de données médicales sensibles, et encore moins leur utilisation dans des publicités ciblées.
Meta a même une disposition à cet effet dans sa politique de confidentialité des données, stipulant que ses partenaires (hébergeurs du Meta Pixel) doivent disposer des droits légaux de collecte, d'utilisation et de partage des données des utilisateurs avant de les lui transmettre :
Cependant, comme mentionné dans la plainte*: « Les défendeurs du secteur de la santé n'ont pas le droit légal d'utiliser ou de partager les données des plaignants et des membres du groupe, car ces informations sont protégées par la loi de confidentialité de la loi de 1996 sur la portabilité et la responsabilité en matière d'assurance maladie ("HIPAA"

HIPAA répertorie les adresses IP comme l'un des 18 identifiants qui, lorsqu'ils sont liés à des informations sur l'état de santé, les soins ou le paiement d'une personne, peuvent qualifier les données d'informations de santé protégées. Contrairement aux données de santé anonymisées ou agrégées, les hôpitaux ne peuvent pas partager des informations de santé protégées avec des tiers, sauf en vertu des conditions strictes des accords d'associés commerciaux qui limitent la manière dont les données peuvent être utilisées.
En tant que tels, Meta et les prestataires de soins de santé sont accusés de savoir que leur opération de collecte de données était illégale, mais ils ont continué à le faire et l'ont caché aux personnes suivies.
Les efforts de Meta pour filtrer les informations médicales sensibles à partir des données collectées se sont avérés inefficaces, selon The Markup et le Département des services financiers de l'État de New York qui ont examiné cette question en février 2021.
En conclusion, les plaignants, au nom de toute personne dans une situation similaire, sollicitent des demandes de réparation concernant l'atteinte à la vie privée, la violation de la confidentialité des informations médicales, l'enrichissement sans cause, la rupture de contrat, la loi sur l'accès aux données informatiques et la fraude (CDAFA), et également la loi fédérale sur l'écoute électronique.
Conclusion d'ailleurs partagée par plusieurs entités. En effet, d'anciens régulateurs, des experts en sécurité des données de santé et des défenseurs de la vie privée qui ont examiné les conclusions de The Markup ont déclaré que les hôpitaux en question pourraient avoir enfreint la loi fédérale sur la portabilité et la responsabilité de l'assurance maladie (HIPAA). La loi interdit aux entités couvertes comme les hôpitaux de partager des informations de santé personnellement identifiables avec des tiers comme Facebook, sauf lorsqu'un individu a expressément consenti à l'avance ou en vertu de certains contrats.
Ni les hôpitaux ni Meta n'ont déclaré avoir de tels contrats en place, et The Markup n'a trouvé aucune preuve que les hôpitaux ou Meta obtenaient autrement le consentement exprès des patients.
« Je suis profondément troublé par ce que [les hôpitaux] font avec la capture de leurs données et leur partage », a déclaré David Holtzman, un consultant en matière de confidentialité de la santé qui a précédemment occupé le poste de conseiller principal en matière de confidentialité au Département américain de la santé et des droits humains et au Bureau des services pour les droits civils, qui applique HIPAA. « Je ne peux pas dire que [partager ces données] est à coup sûr une violation de la loi HIPAA. Mais il s'agit très probablement d'une violation de la loi HIPAA ».
Facebook lui-même n'est pas soumis à la HIPAA, mais les experts interrogés pour cette histoire ont exprimé des inquiétudes quant à la manière dont la grande enseigne de la publicité pourrait utiliser les données personnelles de santé qu'il collecte pour son propre profit.
« C'est un exemple extrême de la portée exacte des tentacules des grandes entreprises technologiques dans ce que nous considérons comme un espace de données protégé », a déclaré Nicholson Price, professeur de droit à l'Université du Michigan qui étudie les mégadonnées et les soins de santé. « Je pense que c'est effrayant, problématique et potentiellement illégal » du point de vue des hôpitaux.
The Markup n'a pas été en mesure de déterminer si Facebook utilisait les données pour des publicités ciblées, former ses algorithmes de recommandation ou tirer profit d'autres manières.
Source : plainte
Et vous ?



Voir aussi :




Vous avez lu gratuitement 633 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.