Le traçage et le captage non autorisés de données de santé perdurent
publié le 8 novembre 2023
La société américaine Feroot Security, un éditeur de logiciels de protection de données, s’est récemment penchée sur l’exploitation non autorisée de données personnelles de santé (notamment sans consentement préalable des personnes concernées) par une série de sites de soins de santé et sites (ou applications) de télé-santé. L’étude en question concerne bien entendu le marché américain mais quand on connaît la porosité d’Internet et la mondialisation des pratiques de certains sites ou opérateurs, les conclusions de cette étude ne peuvent qu’amener à la prudence et à la vigilance.
Premier constat : le recours quasi systématique aux pixels de traçage (1). Les traceurs les plus utilisés par les sites analysés sont ceux de Google, Microsoft, Meta et ByteDance, la maison-mère de TikTok.
Selon les analyses effectuées par Feroot, plus de 86% des sites passés à la loupe collectent et transfèrent des données personnelles de santé des internautes et autres abonnés sans consentement de ces derniers. Plus de 73% des pages de connexion et d’enregistrement sont dotés de traceurs.
Et ces derniers sont loin d’être innocents ou frugaux dans la manière dont ils collectent divers types de données. Voyez plutôt : “environ 15% des pixels de traçage utilisés lisent et collectent les frappes au clavier de l’utilisateur, ce qui signifie qu’ils sont en mesure d’identifier des numéros de sécurité sociale, des noms, des adresses courriel, des dates de rendez-vous, des adresses IP, des informations de facturation, voire même un diagnostic ou traitement médical.”
De quoi nourrir des campagnes de marketing, de ciblage publicitaire, voire des opérations d’attaques et prises d’influence en tous genres. Sans considération de frontière ou de territoire.
Contactées par les auteurs de l’étude, les sociétés qui ont conçu et proposent leurs traceurs se sont dédouanées en soulignant qu’elles-mêmes ne collectaient pas de données sensibles, que seuls les sites (leurs propres clients donc) utilisant leurs traceurs sont responsables de l’usage qu’ils en font. C’est du moins ce qu’ont répondu Meta, Google (Alphabet) et Microsoft. La chinoise TikTok, elle, n’a pas répondu.
(1) Rappelons qu’un pixel de traçage ou pixel de suivi (“cracking pixel” en anglais) est une “méthode de traçage alternative aux cookies, traditionnellement mise en œuvre sous la forme d’une image de 1 pixel par 1 pixel, intégrée dans le site mais invisible pour l’utilisateur” (définition de la CNIL française).
Source: Bloomberg