Cerebral, une startup de télésanté spécialisée dans la santé mentale, affirme avoir partagé par inadvertance les informations sensibles de plus de 3,1 millions de patients avec Google, Meta, TikTok et d'autres annonceurs tiers.Dans un avis publié sur le site Web de la société, Cerebral admet avoir exposé une longue liste de données sur les patients avec les outils de suivi qu'il utilise depuis octobre 2019.Les informations concernées par la surveillance comprennent tout, depuis les noms des patients, les numéros de téléphone, les adresses e-mail, les dates de naissance, les adresses IP, les informations d'assurance, les dates de rendez-vous, le traitement, etc. Elles embarquent même des réponses que les clients ont remplies dans le cadre de l'auto-évaluation de la santé mentale sur le site Web et l'application de l'entreprise, que les patients peuvent utiliser pour planifier des rendez-vous thérapeutiques et recevoir des médicaments sur ordonnance.
Cerebral a révélé avoir partagé les informations privées sur la santé, y compris les évaluations de la santé mentale, de plus de 3,1 millions de patients aux États-Unis avec des annonceurs et des grandes enseignes des médias sociaux comme Facebook, Google et TikTok.
La startup de télésanté, qui a explosé en popularité pendant la pandémie de COVID-19 après des confinements continus et une augmentation des services de santé virtuels uniquement en ligne, a révélé la faille de sécurité dans un dossier auprès du gouvernement fédéral selon lequel elle partageait les informations personnelles et de santé des patients qui utilisaient l'application pour rechercher une thérapie ou d'autres services de soins de santé mentale.
Cerebral a déclaré avoir collecté et partagé des noms, des numéros de téléphone, des adresses e-mail, des dates de naissance, des adresses IP et d'autres données démographiques, ainsi que des données collectées à partir de l'auto-évaluation en ligne de la santé mentale de Cerebral, qui peuvent également inclure les services sélectionnés par le patient, les réponses d'évaluation et d'autres informations de santé associées.
Selon Cerebral, ces informations ont été diffusées à cause de l'utilisation de pixels de suivi, ou les morceaux de code Meta, TikTok et Google permettent aux développeurs de les intégrer dans leurs applications et sites Web.
Le Meta Pixel, par exemple, est un extrait de code qui suit les utilisateurs lorsqu'ils naviguent sur un site Web, en enregistrant les pages qu'ils visitent, les boutons sur lesquels ils cliquent et certaines informations qu'ils saisissent dans les formulaires. C'est l'un des outils de suivi les plus prolifiques sur Internet, présent sur plus de 30 % des sites les plus populaires sur le Web, selon une analyse de The Markup.
En échange de l'installation de son pixel, Meta fournit aux propriétaires de sites Web des analyses sur les publicités qu'ils ont placées sur Facebook et Instagram et des outils pour cibler les personnes qui ont visité leur site Web.
Le Meta Pixel envoie des informations à Facebook via des scripts exécutés dans le navigateur Internet d'une personne, de sorte que chaque paquet de données est étiqueté avec une adresse IP qui peut être utilisée en combinaison avec d'autres données pour identifier un individu ou un ménage.
En somme, le Meta Pixel peut collecter des données sur l'activité d'un utilisateur sur un site Web ou une application après avoir cliqué sur une annonce sur la plate-forme, et même garder une trace des informations qu'un utilisateur remplit sur un formulaire en ligne.
Bien que cela permette aux entreprises, comme Cerebral, de mesurer la façon dont les utilisateurs interagissent avec leurs publicités sur diverses plateformes et de suivre les étapes qu'ils suivent par la suite, cela donne également à Meta, TikTok et Google l'accès à ces informations, qu'ils peuvent ensuite utiliser pour mieux comprendre leur propres utilisateurs.
Comme l'a noté Cerebral, les informations exposées peuvent « varier » d'un patient à l'autre en fonction de plusieurs facteurs, notamment « les actions que les individus ont entreprises sur les plateformes de Cerebral, la nature des services fournis par les sous-traitants, la configuration des technologies de suivi », et plus encore. La société indique qu'elle informera les utilisateurs concernés et ajoute que « peu importe la façon dont un individu interagit avec la plate-forme de Cerebral », elle n'a pas exposé les numéros de sécurité sociale, les numéros de carte de crédit ou les informations de compte bancaire.
Après avoir initialement trouvé la faille de sécurité en janvier, Cerebral affirme avoir « désactivé, reconfiguré et/ou supprimé » l'un des pixels de suivi sur la plate-forme pour éviter de futures expositions, et a « amélioré » ses « pratiques de sécurité de l'information et processus de vérification technologique ».
Cerebral est tenu par la loi de divulguer les violations potentielles de la loi HIPAA, également connue sous le nom de Health Insurance Portability and Accountability Act. Cela interdit aux prestataires de soins de santé de divulguer des informations sur les patients à quiconque autre que le patient ou à toute personne à laquelle le patient a consenti à recevoir des informations sur sa santé. La violation fait actuellement l'objet d'une enquête par l'Office américain des droits civils et fait suite à des incidents similaires impliquant des outils de suivi des pixels.
Le communiqué de Cerebral
Ce qui s'est passé ? Comme d'autres dans de nombreux secteurs, y compris les systèmes de santé, Cerebral a utilisé ce qu'on appelle des «pixels» et des technologies courantes similaires («Tracking Technologies»), telles que celles mises à disposition par Google, Meta (Facebook), TikTok et d'autres tiers (« Plateformes tierces »), sur les Plateformes de Cerebral. Cerebral utilise les technologies de suivi depuis le début de ses activités le 12 octobre 2019. Cerebral a récemment lancé un examen de son utilisation des technologies de suivi et des pratiques de partage de données impliquant des sous-traitants. Le 3 janvier 2023, Cerebral a déterminé qu'elle avait divulgué certaines informations pouvant être réglementées en tant qu'informations de santé protégées ("PHI"
en vertu de la loi HIPAA à certaines plateformes tierces et à certains sous-traitants sans avoir obtenu les assurances requises par la loi HIPAA.Quelles informations ont été divulguées ? Les informations divulguées variaient en fonction des actions entreprises par les individus sur les plateformes de Cerebral, de la nature des services fournis par les sous-traitants, de la configuration des technologies de suivi lorsque l'individu utilisait nos services, des configurations de capture de données des plates-formes tierces, de la manière dont les individus ont configuré leurs appareils et navigateur, et d'autres facteurs.
Si une personne a créé un compte Cerebral, les informations divulguées peuvent avoir inclus le nom, le numéro de téléphone, l'adresse e-mail, la date de naissance, l'adresse IP, le numéro d'identification du client Cerebral et d'autres données démographiques ou informations.
Si, en plus de créer un compte Cerebral, une personne a également rempli une partie de l'auto-évaluation en ligne de la santé mentale de Cerebral, les informations divulguées peuvent également avoir inclus le service sélectionné par la personne, les réponses d'évaluation et certaines informations de santé associées.
Si, en plus de créer un compte Cerebral et de remplir l'auto-évaluation de santé mentale en ligne de Cerebral, une personne a également acheté un plan d'abonnement auprès de Cerebral, les informations divulguées peuvent également avoir inclus le type de plan d'abonnement, les dates de rendez-vous et d'autres informations de réservation, le traitement et autres informations cliniques, informations sur les prestations d'assurance maladie/pharmacie (par exemple, nom du régime et numéros de groupe/membre) et montant de la quote-part d'assurance
Facebook reçoit des informations médicales sensibles des sites Web des hôpitaux
L'année dernière, une enquête menée par The Markup a révélé que certains des meilleurs hôpitaux du pays envoyaient des informations sensibles sur les patients à Meta via le pixel de l'entreprise. Cela a déclenché deux recours collectifs, qui allèguent que Meta et les hôpitaux en question ont violé les lois sur la confidentialité médicale.
The Markup a testé les sites Web des 100 meilleurs hôpitaux américains de Newsweek et voici les résultats de leur enquête : « Sur 33 d'entre eux, nous avons trouvé le traceur, appelé Meta Pixel, envoyant à Facebook un paquet de données chaque fois qu'une personne cliquait sur un bouton pour planifier un rendez-vous chez le médecin. Les données sont connectées à une adresse IP - un identifiant qui ressemble à l'adresse postale d'un ordinateur et peut généralement être lié à une personne ou à un foyer spécifique - créant une réception intime de la demande de rendez-vous pour Facebook ».
Sur le site Web des hôpitaux universitaires de Cleveland Medical Center, par exemple, cliquer sur le bouton « Prendre rendez-vous en ligne » sur la page d'un médecin a incité le Meta Pixel à envoyer à Facebook le texte du bouton,...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.