Aurich Lawson | Getty Images
Un outil de suivi installé sur les sites Web de nombreux hôpitaux recueille des informations sensibles sur la santé des patients, notamment des détails sur leur état de santé, leurs ordonnances et leurs rendez-vous chez le médecin, et les envoie à Facebook.
The Markup a testé les sites Web des 100 meilleurs hôpitaux américains de Newsweek. Sur 33 d’entre eux, nous avons trouvé le tracker, appelé Meta Pixel, envoyant à Facebook un paquet de données chaque fois qu’une personne cliquait sur un bouton pour planifier un rendez-vous chez le médecin. Les données sont connectées à une adresse IP – un identifiant qui ressemble à l’adresse postale d’un ordinateur et peut généralement être lié à un individu ou à un ménage spécifique – créant une réception intime de la demande de rendez-vous pour Facebook.
Sur le site Web des hôpitaux universitaires de Cleveland Medical Center, par exemple, cliquer sur le bouton “Schedule Online” sur la page d’un médecin a incité le Meta Pixel à envoyer à Facebook le texte du bouton, le nom du médecin et le terme de recherche que nous avons utilisé pour la trouver. : « interruption de grossesse ».
En cliquant sur le bouton “Schedule Online Now” d’un médecin sur le site Web de l’hôpital Froedtert, dans le Wisconsin, le Meta Pixel a envoyé à Facebook le texte du bouton, le nom du médecin et la condition que nous avons sélectionnée dans un menu déroulant : “Alzheimer’s .”
Le balisage a également trouvé le Meta Pixel installé à l’intérieur des portails patients protégés par mot de passe de sept systèmes de santé. Sur cinq des pages de ces systèmes, nous avons documenté le pixel envoyant des données Facebook sur de vrais patients qui se sont portés volontaires pour participer au projet Pixel Hunt, une collaboration entre The Markup et Mozilla Rally. Le projet est une entreprise participative dans laquelle n’importe qui peut installer le module complémentaire de navigateur Rally de Mozilla afin d’envoyer les données The Markup sur le Meta Pixel telles qu’elles apparaissent sur les sites qu’ils visitent. Les données envoyées aux hôpitaux comprenaient les noms des médicaments des patients, des descriptions de leurs réactions allergiques et des détails sur leurs prochains rendez-vous chez le médecin.
D’anciens régulateurs, des experts en sécurité des données de santé et des défenseurs de la vie privée qui ont examiné les conclusions de The Markup ont déclaré que les hôpitaux en question pourraient avoir enfreint la loi fédérale sur la portabilité et la responsabilité de l’assurance maladie (HIPAA). La loi interdit aux entités couvertes comme les hôpitaux de partager des informations de santé personnellement identifiables avec des tiers comme Facebook, sauf lorsqu’un individu a expressément consenti à l’avance ou en vertu de certains contrats.
Ni les hôpitaux ni Meta n’ont déclaré avoir de tels contrats en place, et The Markup n’a trouvé aucune preuve que les hôpitaux ou Meta obtenaient autrement le consentement exprès des patients.
« Je suis profondément troublé par ce [the hospitals] font avec la capture de leurs données et leur partage », a déclaré David Holtzman, un consultant en confidentialité de la santé qui a précédemment occupé le poste de conseiller principal en matière de confidentialité au Bureau des droits civils du département américain de la Santé et des Services sociaux, qui applique la loi HIPAA. “Je ne peux pas dire [sharing this data] est à coup sûr une violation de la loi HIPAA. Il s’agit très probablement d’une violation de la loi HIPAA.
Le porte-parole des hôpitaux universitaires de Cleveland Medical Center, George Stamatis, n’a pas répondu aux questions de The Markup, mais a déclaré dans un bref communiqué que l’hôpital “comportait[s] avec toutes les lois et exigences réglementaires fédérales et étatiques applicables. »
Après avoir examiné les conclusions de The Markup, l’hôpital Froedtert a retiré le Meta Pixel de son site Web “par prudence”, a écrit Steve Schooff, porte-parole de l’hôpital, dans un communiqué.
Au 15 juin, six autres hôpitaux avaient également supprimé les pixels de leurs pages de prise de rendez-vous et au moins cinq des sept systèmes de santé qui avaient installé des Meta Pixels dans leurs portails patients avaient supprimé ces pixels.
Les 33 hôpitaux que The Markup a trouvés en envoyant les détails des rendez-vous des patients à Facebook ont collectivement signalé plus de 26 millions d’admissions de patients et de visites ambulatoires en 2020, selon les données les plus récentes disponibles de l’American Hospital Association. Notre enquête s’est limitée à un peu plus de 100 hôpitaux; le partage de données touche probablement beaucoup plus de patients et d’établissements que nous n’en avons identifié.
Facebook lui-même n’est pas soumis à la HIPAA, mais les experts interrogés pour cette histoire ont exprimé des inquiétudes quant à la manière dont le géant de la publicité pourrait utiliser les données personnelles de santé qu’il collecte à son propre profit.
“C’est un exemple extrême de la portée exacte des tentacules de Big Tech dans ce que nous considérons comme un espace de données protégé”, a déclaré Nicholson Price, professeur de droit à l’Université du Michigan qui étudie les mégadonnées et les soins de santé. “Je pense que c’est effrayant, problématique et potentiellement illégal” du point de vue des hôpitaux.
Le balisage n’a pas été en mesure de déterminer si Facebook utilisait les données pour cibler des publicités, former ses algorithmes de recommandation ou tirer profit d’autres manières.
