Pixélisé : la grande récolte (continue) de vos dossiers médicaux

L'HISTOIRE EN UN COUP D'IL

À l'heure actuelle, la plupart des gens savent que s'ils "aiment" une certaine page sur Facebook, cela donne au géant des médias sociaux des informations à leur sujet. "J'aime" une page sur une maladie particulière, par exemple, et les spécialistes du marketing peuvent commencer à vous cibler avec des produits et services connexes.

Cependant, Facebook peut également collecter des données de santé sensibles de manière beaucoup plus insidieuse, notamment en vous suivant lorsque vous êtes sur les sites Web d'hôpitaux et même lorsque vous êtes sur un portail personnel d'informations sur la santé protégé par mot de passe comme MyChart.¹

Il le fait via des pixels, qui peuvent être installés à votre insu sur les sites Web que vous visitez. Ils peuvent collecter des informations vous concernant lorsque vous naviguez sur le Web, même si vous n'avez pas de compte Facebook.

Meta Pixel trouvé sur les sites Web des hôpitaux

En particulier, le Meta Pixel est un morceau de code JavaScript que les développeurs peuvent ajouter à leur site Web pour suivre l'activité des visiteurs.² D'après Méta :³

"Cela fonctionne en chargeant une petite bibliothèque de fonctions que vous pouvez utiliser chaque fois qu'un visiteur du site effectue une action (appelée événement) que vous souhaitez suivre (appelée conversion). Les conversions suivies apparaissent dans le gestionnaire de publicités où elles peuvent être utilisées pour mesurer l'efficacité de vos publicités, pour définir des audiences personnalisées pour le ciblage publicitaire, pour les campagnes publicitaires dynamiques et pour analyser cette efficacité des entonnoirs de conversion de votre site Web.

Même les hôpitaux optent pour les trackers de données, comme en témoigne une enquête de The Markup, qui a testé les sites Web des 100 meilleurs hôpitaux américains de Newsweek. Le Meta Pixel de Facebook a été trouvé sur 33 des sites Web, envoyant des informations Facebook liées à une adresse IP, qui identifie les ordinateurs individuels et peut être retracée jusqu'à un individu ou un ménage.

Le pixel suit non seulement l'adresse IP de l'ordinateur utilisé, mais également les médecins recherchés et les termes de recherche ajoutés aux champs de recherche ou sélectionnés dans les menus déroulants. Le balisage a rapporté :⁴

«Sur le site Web des hôpitaux universitaires de Cleveland Medical Center, par exemple, cliquer sur le bouton« Planifier en ligne »sur la page d'un médecin a incité le Meta Pixel à envoyer à Facebook le texte du bouton, le nom du médecin et le terme de recherche que nous avons utilisé pour trouver elle : « interruption de grossesse ».

En cliquant sur le bouton "Schedule Online Now" d'un médecin sur le site Web de l'hôpital Froedtert, dans le Wisconsin, le Meta Pixel a envoyé à Facebook le texte du bouton, le nom du médecin et la condition que nous avons sélectionnée dans un menu déroulant : "Alzheimer's .””

Meta Pixel installé sur les portails patients

Les soins de santé passent de plus en plus au numérique, ce qui rend la confidentialité des portails patients comme MyChart de plus en plus importante. En 2020, environ 6 Américains sur 10 se sont vu offrir l'accès à un portail patient en ligne - une augmentation de 17% depuis 2014 - et près de 40% ont accédé à leurs dossiers en ligne au moins une fois.⁵

Dans l'ensemble, environ un tiers de ceux qui ont utilisé les portails patients ont téléchargé leur dossier médical en ligne en 2020, soit près du double du nombre de personnes qui l'ont fait en 2017.

Cependant, les données auxquelles vous accédez lorsque vous utilisez des portails patients protégés par mot de passe peuvent également être envoyées à Facebook via des pixels. Le balisage a trouvé le Meta Pixel dans les portails patients de sept systèmes de santé, dont Edward-Elmhurst Health, FastMed, Novant Health et Community Health Network.

Les données recueillies comprenaient les noms des médicaments pris, les descriptions des réactions allergiques et les prochains rendez-vous chez le médecin.⁶ Novant Health, qui a supprimé le pixel après avoir été contacté par The Markup, a déclaré : « Nous apprécions que vous nous contactiez et que vous partagiez ces informations. Notre placement de métapixels est guidé par un fournisseur tiers et il a été supprimé pendant que nous continuons à examiner cette question. »⁷

The Markup collabore maintenant avec Mozilla Rally, en utilisant un module complémentaire de navigateur et le crowdsourcing pour envoyer des données sur le Meta Pixel sur les sites Web visités par les participants à l'étude. L'objectif de l'étude, qui se déroule jusqu'au 13 juillet 2022 et a été surnommée Facebook Pixel Hunt, est de cartographier le réseau de suivi des pixels de Facebook afin de mieux comprendre les types d'informations collectées sur le Web.⁸

"Très probablement une violation de l'HIPPA"

La loi fédérale sur la portabilité et la responsabilité de l'assurance maladie (HIPAA) interdit aux hôpitaux de partager des données de santé personnellement identifiables avec Facebook et d'autres, à moins qu'un individu n'y ait consenti. En conséquence, il est possible que le Meta Pixel de Facebook sur les sites hospitaliers soit illégal.

David Holtzman, ancien conseiller principal en matière de protection de la vie privée au Bureau des droits civils du ministère américain de la Santé et des Services sociaux, a déclaré à The Markup : « Je suis profondément troublé par ce que [les hôpitaux] font avec la capture de leurs données et le partage de ce. Je ne peux pas dire que [le partage de ces données] est à coup sûr une violation de la loi HIPAA. Il s'agit très probablement d'une violation de la loi HIPAA.⁹

Au 15 juin 2022, au moins sept des hôpitaux contactés par The Markup avaient supprimé les pixels de leurs pages de prise de rendez-vous, tandis qu'au moins cinq des systèmes de santé dotés de Meta Pixels sur leurs portails patients avaient supprimé les pixels.

Cependant, pour avoir une idée de l'étendue des données publiées, The Markup a constaté que plus de 26 millions d'admissions de patients et de visites ambulatoires avaient été partagées par les 33 hôpitaux utilisant Meta Pixels, ce qui est probablement conservateur.

« Notre enquête s'est limitée à un peu plus de 100 hôpitaux ; le partage de données affecte probablement beaucoup plus de patients et d'institutions que nous n'en avons identifié », a rapporté The Markup.¹⁰ En fait, chaque fois que vous naviguez sur le Web, vous êtes susceptible de tomber sur un Meta Pixel, car ils se trouvent sur plus de 30 % des sites Web les plus populaires en ligne.¹¹

Les adresses IP sont répertoriées comme l'un des identifiants qui peuvent faire en sorte que les données soient considérées comme des informations de santé protégées en vertu de la loi HIPPA. De plus, être connecté à Facebook lors de la visite d'un site Web d'hôpital avec un Meta Pixel peut permettre d'attacher encore plus de mécanismes de suivi, tels que des cookies tiers, afin que les données de pixel puissent être liées aux comptes Facebook. Selon Le balisage :¹²

"[D]ans plusieurs cas, nous avons constaté - en utilisant à la fois des comptes fictifs créés par nos journalistes et des données de bénévoles du Mozilla Rally - que le Meta Pixel facilitait encore l'identification des patients.

Lorsque The Markup a cliqué sur le bouton "Terminer la réservation" sur la page d'un médecin de l'hôpital Scripps Memorial, le pixel a envoyé à Facebook non seulement le nom du médecin et son domaine de médecine, mais également le prénom, le nom, l'adresse e-mail, le numéro de téléphone, le code postal. code et la ville de résidence que nous avons entrés dans le formulaire de réservation.”

Les patients seraient « choqués »

Il est tout à fait possible que ce que Facebook fait avec les données sensibles sur la santé des patients soit illégal, mais même si ce n'est pas le cas, la plupart des gens seraient choqués de découvrir les types de données que Facebook collecte à leur sujet en ligne, lorsqu'ils utilisent ce qui est supposé. être des sites Web de santé et des portails de patients privés et protégés.

S'adressant à The Markup, Glenn Cohen, directeur de la faculté du Petrie-Flom Center for Health Law Policy, Biotechnology, and Bioethics de la Harvard Law School, a expliqué :¹³

"Presque tous les patients seraient choqués d'apprendre que Facebook offre un moyen simple d'associer leurs ordonnances à leur nom. Même s'il y a peut-être quelque chose dans l'architecture juridique qui permet que cela soit légal, c'est totalement en dehors des attentes de ce que les patients pensent que les lois sur la confidentialité de la santé font pour eux.

Alors que Facebook prétend utiliser des systèmes d'apprentissage automatique pour détecter des données de santé sensibles et empêcher leur collecte, des centaines de sites Web de centres de grossesse en crise se sont avérés partager des informations sur les visiteurs avec le géant des médias sociaux, notamment des informations telles que si le visiteur était chercher des tests de grossesse, des contraceptifs d'urgence ou un avortement.

Les données pourraient être utilisées pour diriger des publicités ciblées ou même, dans le pire des cas, potentiellement dans le cadre de poursuites judiciaires.

Albert Fox Cahn, fondateur et directeur exécutif du Surveillance Technology Oversight Project, a déclaré à The Markup: «Je pense que cela va être un signal d'alarme pour des millions d'Américains sur le danger que ce suivi les met en danger lorsque les lois changent et que les gens peut militariser ces systèmes d'une manière qui semblait autrefois impossible.¹⁴

Google suit également les données de santé

En 2019, Google s'est associé au centre médical de l'Université de Chicago pour collecter des dossiers médicaux et utiliser l'intelligence artificielle pour prédire les événements médicaux. Les dossiers étaient censés être anonymes, mais ils comprenaient des horodatages et des notes de médecins, que le procès alléguait que Google pouvait combiner avec des données de géolocalisation pour identifier les patients.¹⁵

Le procès alléguait que "les informations médicales personnelles obtenues par Google sont les informations les plus sensibles et les plus intimes de la vie d'un individu, et leur divulgation non autorisée est bien plus préjudiciable à la vie privée d'un individu" que les données généralement exposées lors de piratages, tels que les numéros de carte de crédit.¹⁶

Quatre procureurs généraux ont également poursuivi Google pour ses pratiques trompeuses dans la collecte de données de localisation auprès du public. Les poursuites distinctes allèguent que Google a continué à suivre les données de localisation de ses utilisateurs même après avoir désactivé le suivi de localisation.

Karl A. Racine, procureur général du district de Columbia, a ouvert une enquête sur Google après qu'un rapport d'AP News de 2018 a révélé que Google suivait les mouvements des personnes même lorsqu'elles s'étaient désengagées de ce suivi.¹⁷ Les affirmations trompeuses de Google aux utilisateurs concernant les protections de la vie privée disponibles dans les paramètres de leur compte durent depuis au moins 2014, a révélé l'enquête de Racine.¹⁸

En plus de masquer le suivi de la localisation sous des paramètres auxquels les utilisateurs ne s'attendraient pas, comme l'activité sur le Web et les applications - qui est activée par défaut - Google est accusé de collecter et de stocker des informations de localisation via les services Google, les données Wi-Fi et les partenaires marketing, encore une fois après l'appareil ou les paramètres du compte ont été modifiés pour arrêter le suivi de la position.¹⁹

Outre le district de Columbia, les procureurs généraux du Texas, de Washington et de l'Indiana ont également intenté des poursuites contre Google pour leurs pratiques trompeuses en matière de collecte de données. Les poursuites allèguent que Google a également fait pression sur les utilisateurs pour qu'ils utilisent plus souvent le suivi de localisation parce qu'il a affirmé - à tort - que ses produits ne fonctionneraient pas correctement sans lui.²⁰

Les données de localisation, quant à elles, peuvent être utilisées pour révéler des détails intimes sur votre vie, depuis vos abonnements à la salle de sport, vos visites de soins de santé, les magasins et les restaurants que vous fréquentez jusqu'à l'endroit où vous allez à l'église. Il peut également être utilisé pour fournir des publicités personnalisées sur des panneaux d'affichage numériques lorsque vous passez, et Google suit et fournit à ses clients des informations sur la façon dont les publicités en ligne fonctionnent pour attirer les gens dans les magasins physiques.²¹

Protégez votre vie privée en ligne

Une fois que vous reconnaissez que vous êtes suivi en ligne, il est sage de vous en abstenir consciemment autant que possible. Robert Epstein, Ph.D., psychologue de recherche principal à l'American Institute for Behavioral Research and Technology (AIBRT), rappelle aux gens que les services gratuits en ligne, tels que Facebook et Google, ne sont pas vraiment gratuits, car vous les payez avec votre liberté.²² Pour reprendre une partie de votre vie privée en ligne, pour vous comme pour vos enfants, il recommande :²³

1. Débarrassez-vous de Gmail. Si vous avez un compte Gmail, essayez plutôt un service de messagerie autre que Google, tel que protonmail, un service de messagerie crypté basé en Suisse.
2. Désinstallez Google Chrome et utilisez courageux navigateur à la place, disponible pour tous les ordinateurs et appareils mobiles. Il bloque les publicités et protège votre vie privée.
3. Changez de moteur de recherche. Essayez plutôt le moteur de recherche Brave.
4. Évitez Androïd. Les téléphones Google et les téléphones qui utilisent Android suivent pratiquement tout ce que vous faites et ne protègent pas votre vie privée. Il est possible de supprimer Google de votre téléphone portable en achetant un téléphone Android qui n'a pas de système d'exploitation Google, mais vous devrez trouver un informaticien qualifié qui peut reformater le disque dur de votre téléphone portable.
5. Évitez les appareils Google Home. Si vous avez des haut-parleurs intelligents Google Home ou l'application pour smartphone Google Assistant, il y a une chance que les gens écoutent vos demandes, et même écoutent quand vous ne vous y attendriez pas.
6. Effacer le cache et les cookies. Cela aidera à se débarrasser des codes informatiques invasifs qui suivent ce que vous faites en ligne.
7. Utilisez un proxy ou un VPN (Virtual Private Network). Ce service crée un tampon entre vous et Internet, "trompant de nombreuses sociétés de surveillance en leur faisant croire que vous n'êtes pas vraiment vous".