Cerebral, une startup de télésanté spécialisée dans la santé mentale, affirme avoir partagé par inadvertance les informations sensibles de plus de 3,1 millions de patients avec Google, Meta, TikTok et d'autres annonceurs tiers.Dans un avis publié sur le site Web de la société, Cerebral admet avoir exposé une longue liste de données sur les patients avec les outils de suivi qu'il utilise depuis octobre 2019.Les informations concernées par la surveillance comprennent tout, depuis les noms des patients, les numéros de téléphone, les adresses e-mail, les dates de naissance, les adresses IP, les informations d'assurance, les dates de rendez-vous, le traitement, etc. Elles embarquent même des réponses que les clients ont remplies dans le cadre de l'auto-évaluation de la santé mentale sur le site Web et l'application de l'entreprise, que les patients peuvent utiliser pour planifier des rendez-vous thérapeutiques et recevoir des médicaments sur ordonnance.
Cerebral a révélé avoir partagé les informations privées sur la santé, y compris les évaluations de la santé mentale, de plus de 3,1 millions de patients aux États-Unis avec des annonceurs et des grandes enseignes des médias sociaux comme Facebook, Google et TikTok.
La startup de télésanté, qui a explosé en popularité pendant la pandémie de COVID-19 après des confinements continus et une augmentation des services de santé virtuels uniquement en ligne, a révélé la faille de sécurité dans un dossier auprès du gouvernement fédéral selon lequel elle partageait les informations personnelles et de santé des patients qui utilisaient l'application pour rechercher une thérapie ou d'autres services de soins de santé mentale.
Cerebral a déclaré avoir collecté et partagé des noms, des numéros de téléphone, des adresses e-mail, des dates de naissance, des adresses IP et d'autres données démographiques, ainsi que des données collectées à partir de l'auto-évaluation en ligne de la santé mentale de Cerebral, qui peuvent également inclure les services sélectionnés par le patient, les réponses d'évaluation et d'autres informations de santé associées.
Selon Cerebral, ces informations ont été diffusées à cause de l'utilisation de pixels de suivi, ou les morceaux de code Meta, TikTok et Google permettent aux développeurs de les intégrer dans leurs applications et sites Web.
Le Meta Pixel, par exemple, est un extrait de code qui suit les utilisateurs lorsqu'ils naviguent sur un site Web, en enregistrant les pages qu'ils visitent, les boutons sur lesquels ils cliquent et certaines informations qu'ils saisissent dans les formulaires. C'est l'un des outils de suivi les plus prolifiques sur Internet, présent sur plus de 30 % des sites les plus populaires sur le Web, selon une analyse de The Markup.
En échange de l'installation de son pixel, Meta fournit aux propriétaires de sites Web des analyses sur les publicités qu'ils ont placées sur Facebook et Instagram et des outils pour cibler les personnes qui ont visité leur site Web.
Le Meta Pixel envoie des informations à Facebook via des scripts exécutés dans le navigateur Internet d'une personne, de sorte que chaque paquet de données est étiqueté avec une adresse IP qui peut être utilisée en combinaison avec d'autres données pour identifier un individu ou un ménage.
En somme, le Meta Pixel peut collecter des données sur l'activité d'un utilisateur sur un site Web ou une application après avoir cliqué sur une annonce sur la plate-forme, et même garder une trace des informations qu'un utilisateur remplit sur un formulaire en ligne.
Bien que cela permette aux entreprises, comme Cerebral, de mesurer la façon dont les utilisateurs interagissent avec leurs publicités sur diverses plateformes et de suivre les étapes qu'ils suivent par la suite, cela donne également à Meta, TikTok et Google l'accès à ces informations, qu'ils peuvent ensuite utiliser pour mieux comprendre leur propres utilisateurs.
Comme l'a noté Cerebral, les informations exposées peuvent « varier » d'un patient à l'autre en fonction de plusieurs facteurs, notamment « les actions que les individus ont entreprises sur les plateformes de Cerebral, la nature des services fournis par les sous-traitants, la configuration des technologies de suivi », et plus encore. La société indique qu'elle informera les utilisateurs concernés et ajoute que « peu importe la façon dont un individu interagit avec la plate-forme de Cerebral », elle n'a pas exposé les numéros de sécurité sociale, les numéros de carte de crédit ou les informations de compte bancaire.
Après avoir initialement trouvé la faille de sécurité en janvier, Cerebral affirme avoir « désactivé, reconfiguré et/ou supprimé » l'un des pixels de suivi sur la plate-forme pour éviter de futures expositions, et a « amélioré » ses « pratiques de sécurité de l'information et processus de vérification technologique ».
Cerebral est tenu par la loi de divulguer les violations potentielles de la loi HIPAA, également connue sous le nom de Health Insurance Portability and Accountability Act. Cela interdit aux prestataires de soins de santé de divulguer des informations sur les patients à quiconque autre que le patient ou à toute personne à laquelle le patient a consenti à recevoir des informations sur sa santé. La violation fait actuellement l'objet d'une enquête par l'Office américain des droits civils et fait suite à des incidents similaires impliquant des outils de suivi des pixels.
Le communiqué de Cerebral
Ce qui s'est passé ? Comme d'autres dans de nombreux secteurs, y compris les systèmes de santé, Cerebral a utilisé ce qu'on appelle des «pixels» et des technologies courantes similaires («Tracking Technologies»), telles que celles mises à disposition par Google, Meta (Facebook), TikTok et d'autres tiers (« Plateformes tierces »), sur les Plateformes de Cerebral. Cerebral utilise les technologies de suivi depuis le début de ses activités le 12 octobre 2019. Cerebral a récemment lancé un examen de son utilisation des technologies de suivi et des pratiques de partage de données impliquant des sous-traitants. Le 3 janvier 2023, Cerebral a déterminé qu'elle avait divulgué certaines informations pouvant être réglementées en tant qu'informations de santé protégées ("PHI") en vertu de la loi HIPAA à certaines plateformes tierces et à certains sous-traitants sans avoir obtenu les assurances requises par la loi HIPAA.
Quelles informations ont été divulguées ? Les informations divulguées variaient en fonction des actions entreprises par les individus sur les plateformes de Cerebral, de la nature des services fournis par les sous-traitants, de la configuration des technologies de suivi lorsque l'individu utilisait nos services, des configurations de capture de données des plates-formes tierces, de la manière dont les individus ont configuré leurs appareils et navigateur, et d'autres facteurs.
Si une personne a créé un compte Cerebral, les informations divulguées peuvent avoir inclus le nom, le numéro de téléphone, l'adresse e-mail, la date de naissance, l'adresse IP, le numéro d'identification du client Cerebral et d'autres données démographiques ou informations.
Si, en plus de créer un compte Cerebral, une personne a également rempli une partie de l'auto-évaluation en ligne de la santé mentale de Cerebral, les informations divulguées peuvent également avoir inclus le service sélectionné par la personne, les réponses d'évaluation et certaines informations de santé associées.
Si, en plus de créer un compte Cerebral et de remplir l'auto-évaluation de santé mentale en ligne de Cerebral, une personne a également acheté un plan d'abonnement auprès de Cerebral, les informations divulguées peuvent également avoir inclus le type de plan d'abonnement, les dates de rendez-vous et d'autres informations de réservation, le traitement et autres informations cliniques, informations sur les prestations d'assurance maladie/pharmacie (par exemple, nom du régime et numéros de groupe/membre) et montant de la quote-part d'assurance
Facebook reçoit des informations médicales sensibles des sites Web des hôpitaux
L'année dernière, une enquête menée par The Markup a révélé que certains des meilleurs hôpitaux du pays envoyaient des informations sensibles sur les patients à Meta via le pixel de l'entreprise. Cela a déclenché deux recours collectifs, qui allèguent que Meta et les hôpitaux en question ont violé les lois sur la confidentialité médicale.
The Markup a testé les sites Web des 100 meilleurs hôpitaux américains de Newsweek et voici les résultats de leur enquête : « Sur 33 d'entre eux, nous avons trouvé le traceur, appelé Meta Pixel, envoyant à Facebook un paquet de données chaque fois qu'une personne cliquait sur un bouton pour planifier un rendez-vous chez le médecin. Les données sont connectées à une adresse IP - un identifiant qui ressemble à l'adresse postale d'un ordinateur et peut généralement être lié à une personne ou à un foyer spécifique - créant une réception intime de la demande de rendez-vous pour Facebook ».
Sur le site Web des hôpitaux universitaires de Cleveland Medical Center, par exemple, cliquer sur le bouton « Prendre rendez-vous en ligne » sur la page d'un médecin a incité le Meta Pixel à envoyer à Facebook le texte du bouton, le nom du médecin et le terme de recherche que The Markup a utilisé pour la trouver : « interruption de grossesse ».
En cliquant sur le bouton « Prendre rendez-vous en ligne » d'un médecin sur le site Web de l'hôpital Froedtert, dans le Wisconsin, le Meta Pixel a envoyé à Facebook le texte du bouton, le nom du médecin et la condition que The Markup a sélectionnée dans un menu déroulant : « Alzheimer ».
The Markup a également trouvé le Meta Pixel installé à l'intérieur des portails patients protégés par mot de passe de sept systèmes de santé. Sur cinq des pages de ces systèmes, The Markup a documenté le pixel envoyant à Facebook des données sur de vrais patients qui se sont portés volontaires pour participer au projet Pixel Hunt, une collaboration entre The Markup et Mozilla Rally. Le projet est une entreprise participative dans laquelle n'importe qui peut installer le module complémentaire de navigateur Rally de Mozilla afin d'envoyer les données The Markup sur le Meta Pixel telles qu'elles apparaissent sur les sites qu'ils visitent. Les données envoyées aux hôpitaux comprenaient les noms des médicaments des patients, des descriptions de leurs réactions allergiques et des détails sur leurs prochains rendez-vous chez le médecin.
La plupart des hôpitaux sur la première page qui avaient le traceur sur leurs sites web ne l'ont pas retiré après avoir été contacté par The Markup
D'anciens régulateurs, des experts en sécurité des données de santé et des défenseurs de la vie privée qui ont examiné les conclusions de The Markup ont déclaré que les hôpitaux en question pourraient avoir enfreint la loi fédérale sur la portabilité et la responsabilité de l'assurance maladie (HIPAA). La loi interdit aux entités couvertes comme les hôpitaux de partager des informations de santé personnellement identifiables avec des tiers comme Facebook, sauf lorsqu'un individu a expressément consenti à l'avance ou en vertu de certains contrats.
Ni les hôpitaux ni Meta n'ont déclaré avoir de tels contrats en place, et The Markup n'a trouvé aucune preuve que les hôpitaux ou Meta obtenaient autrement le consentement exprès des patients.
« Je suis profondément troublé par ce que [les hôpitaux] font avec la capture de leurs données et leur partage », a déclaré David Holtzman, un consultant en matière de confidentialité de la santé qui a précédemment occupé le poste de conseiller principal en matière de confidentialité au Département américain de la santé et des droits humains et au Bureau des services pour les droits civils, qui applique HIPAA. « Je ne peux pas dire que [partager ces données] est à coup sûr une violation de la loi HIPAA. Mais il s'agit très probablement d'une violation de la loi HIPAA ».
Des mois plus tard, The Markup a également découvert que Meta était en mesure d'obtenir des informations financières sur les utilisateurs grâce aux outils de suivi intégrés aux services fiscaux populaires, tels que H&R Block, TaxAct et TaxSlayer. Pendant ce temps, d'autres sociétés médicales en ligne, comme BetterHelp et GoodRx, ont été frappées de lourdes amendes par la FTC pour avoir partagé des données sensibles sur les patients avec des tiers plus tôt cette année.
Conclusion
En plus de faire l'objet d'un examen minutieux pour savoir s'il a ou non enfreint les réglementations HIPAA, Cerebral fait l'objet d'une enquête du ministère de la Justice et de la Drug Enforcement Administration sur sa prescription de substances contrôlées, telles que l'Adderall et le Xanax. Elle a depuis stoppé la prescription de ces médicaments.
Source : communiqué Cerebral
Et vous ?
Quelle lecture faites-vous de cette situation ? Les organisations évoluant dans le domaine de la santé en particulier et dans des domaines où les données sont sensibles en général (secteur financier et autres) devraient