Cerebral, une startup de tlsant spcialise dans la sant mentale, affirme avoir partag par inadvertance les informations sensibles de plus de 3,1 millions de patients avec Google, Meta, TikTok et d’autres annonceurs tiers.Dans un avis publi sur le site Web de la socit, Cerebral admet avoir expos une longue liste de donnes sur les patients avec les outils de suivi qu’il utilise depuis octobre 2019.
Les informations concernes par la surveillance comprennent tout, depuis les noms des patients, les numros de tlphone, les adresses e-mail, les dates de naissance, les adresses IP, les informations d’assurance, les dates de rendez-vous, le traitement, etc. Elles embarquent mme des rponses que les clients ont remplies dans le cadre de l’auto-valuation de la sant mentale sur le site Web et l’application de l’entreprise, que les patients peuvent utiliser pour planifier des rendez-vous thrapeutiques et recevoir des mdicaments sur ordonnance.
Cerebral a rvl avoir partag les informations prives sur la sant, y compris les valuations de la sant mentale, de plus de 3,1 millions de patients aux tats-Unis avec des annonceurs et des grandes enseignes des mdias sociaux comme Facebook, Google et TikTok.
La startup de tlsant, qui a explos en popularit pendant la pandmie de COVID-19 aprs des confinements continus et une augmentation des services de sant virtuels uniquement en ligne, a rvl la faille de scurit dans un dossier auprs du gouvernement fdral selon lequel elle partageait les informations personnelles et de sant des patients qui utilisaient l’application pour rechercher une thrapie ou d’autres services de soins de sant mentale.
Cerebral a dclar avoir collect et partag des noms, des numros de tlphone, des adresses e-mail, des dates de naissance, des adresses IP et d’autres donnes dmographiques, ainsi que des donnes collectes partir de l’auto-valuation en ligne de la sant mentale de Cerebral, qui peuvent galement inclure les services slectionns par le patient, les rponses d’valuation et d’autres informations de sant associes.
Selon Cerebral, ces informations ont t diffuses cause de l’utilisation de pixels de suivi, ou les morceaux de code Meta, TikTok et Google permettent aux dveloppeurs de les intgrer dans leurs applications et sites Web.
Le Meta Pixel, par exemple, est un extrait de code qui suit les utilisateurs lorsqu’ils naviguent sur un site Web, en enregistrant les pages qu’ils visitent, les boutons sur lesquels ils cliquent et certaines informations qu’ils saisissent dans les formulaires. C’est l’un des outils de suivi les plus prolifiques sur Internet, prsent sur plus de 30 % des sites les plus populaires sur le Web, selon une analyse de The Markup.
En change de l’installation de son pixel, Meta fournit aux propritaires de sites Web des analyses sur les publicits qu’ils ont places sur Facebook et Instagram et des outils pour cibler les personnes qui ont visit leur site Web.
Le Meta Pixel envoie des informations Facebook via des scripts excuts dans le navigateur Internet d’une personne, de sorte que chaque paquet de donnes est tiquet avec une adresse IP qui peut tre utilise en combinaison avec d’autres donnes pour identifier un individu ou un mnage.
En somme, le Meta Pixel peut collecter des donnes sur l’activit d’un utilisateur sur un site Web ou une application aprs avoir cliqu sur une annonce sur la plate-forme, et mme garder une trace des informations qu’un utilisateur remplit sur un formulaire en ligne.
Bien que cela permette aux entreprises, comme Cerebral, de mesurer la faon dont les utilisateurs interagissent avec leurs publicits sur diverses plateformes et de suivre les tapes qu’ils suivent par la suite, cela donne galement Meta, TikTok et Google l’accs ces informations, qu’ils peuvent ensuite utiliser pour mieux comprendre leur propres utilisateurs.
Comme l’a not Cerebral, les informations exposes peuvent varier d’un patient l’autre en fonction de plusieurs facteurs, notamment les actions que les individus ont entreprises sur les plateformes de Cerebral, la nature des services fournis par les sous-traitants, la configuration des technologies de suivi , et plus encore. La socit indique qu’elle informera les utilisateurs concerns et ajoute que peu importe la faon dont un individu interagit avec la plate-forme de Cerebral , elle n’a pas expos les numros de scurit sociale, les numros de carte de crdit ou les informations de compte bancaire.
Aprs avoir initialement trouv la faille de scurit en janvier, Cerebral affirme avoir dsactiv, reconfigur et/ou supprim l’un des pixels de suivi sur la plate-forme pour viter de futures expositions, et a amlior ses pratiques de scurit de l’information et processus de vrification technologique .
Cerebral est tenu par la loi de divulguer les violations potentielles de la loi HIPAA, galement connue sous le nom de Health Insurance Portability and Accountability Act. Cela interdit aux prestataires de soins de sant de divulguer des informations sur les patients quiconque autre que le patient ou toute personne laquelle le patient a consenti recevoir des informations sur sa sant. La violation fait actuellement l’objet d’une enqute par l’Office amricain des droits civils et fait suite des incidents similaires impliquant des outils de suivi des pixels.
Le communiqu de Cerebral
Ce qui s’est pass ? Comme d’autres dans de nombreux secteurs, y compris les systmes de sant, Cerebral a utilis ce qu’on appelle des pixels et des technologies courantes similaires (Tracking Technologies), telles que celles mises disposition par Google, Meta (Facebook), TikTok et d’autres tiers ( Plateformes tierces ), sur les Plateformes de Cerebral. Cerebral utilise les technologies de suivi depuis le dbut de ses activits le 12 octobre 2019. Cerebral a rcemment lanc un examen de son utilisation des technologies de suivi et des pratiques de partage de donnes impliquant des sous-traitants. Le 3 janvier 2023, Cerebral a dtermin qu’elle avait divulgu certaines informations pouvant tre rglementes en tant qu’informations de sant protges (« PHI ») en vertu de la loi HIPAA certaines plateformes tierces et certains sous-traitants sans avoir obtenu les assurances requises par la loi HIPAA.
Quelles informations ont t divulgues ? Les informations divulgues variaient en fonction des actions entreprises par les individus sur les plateformes de Cerebral, de la nature des services fournis par les sous-traitants, de la configuration des technologies de suivi lorsque l’individu utilisait nos services, des configurations de capture de donnes des plates-formes tierces, de la manire dont les individus ont configur leurs appareils et navigateur, et d’autres facteurs.
Si une personne a cr un compte Cerebral, les informations divulgues peuvent avoir inclus le nom, le numro de tlphone, l’adresse e-mail, la date de naissance, l’adresse IP, le numro d’identification du client Cerebral et d’autres donnes dmographiques ou informations.
Si, en plus de crer un compte Cerebral, une personne a galement rempli une partie de l’auto-valuation en ligne de la sant mentale de Cerebral, les informations divulgues peuvent galement avoir inclus le service slectionn par la personne, les rponses d’valuation et certaines informations de sant associes.
Si, en plus de crer un compte Cerebral et de remplir l’auto-valuation de sant mentale en ligne de Cerebral, une personne a galement achet un plan d’abonnement auprs de Cerebral, les informations divulgues peuvent galement avoir inclus le type de plan d’abonnement, les dates de rendez-vous et d’autres informations de rservation, le traitement et autres informations cliniques, informations sur les prestations d’assurance maladie/pharmacie (par exemple, nom du rgime et numros de groupe/membre) et montant de la quote-part d’assurance
Facebook reoit des informations mdicales sensibles des sites Web des hpitaux
L’anne dernire, une enqute mene par The Markup a rvl que certains des meilleurs hpitaux du pays envoyaient des informations sensibles sur les patients Meta via le pixel de l’entreprise. Cela a dclench deux recours collectifs, qui allguent que Meta et les hpitaux en question ont viol les lois sur la confidentialit mdicale.
The Markup a test les sites Web des 100 meilleurs hpitaux amricains de Newsweek et voici les rsultats de leur enqute : Sur 33 d’entre eux, nous avons trouv le traceur, appel Meta Pixel, envoyant Facebook un paquet de donnes chaque fois qu’une personne cliquait sur un bouton pour planifier un rendez-vous chez le mdecin. Les donnes sont connectes une adresse IP – un identifiant qui ressemble l’adresse postale d’un ordinateur et peut gnralement tre li une personne ou un foyer spcifique – crant une rception intime de la demande de rendez-vous pour Facebook .
Sur le site Web des hpitaux universitaires de Cleveland Medical Center, par exemple, cliquer sur le bouton Prendre rendez-vous en ligne sur la page d’un mdecin a incit le Meta Pixel envoyer Facebook le texte du bouton, le nom du mdecin et le terme de recherche que The Markup a utilis pour la trouver : interruption de grossesse .
En cliquant sur le bouton Prendre rendez-vous en ligne d’un mdecin sur le site Web de l’hpital Froedtert, dans le Wisconsin, le Meta Pixel a envoy Facebook le texte du bouton, le nom du mdecin et la condition que The Markup a slectionne dans un menu droulant : Alzheimer .
The Markup a galement trouv le Meta Pixel install l’intrieur des portails patients protgs par mot de passe de sept systmes de sant. Sur cinq des pages de ces systmes, The Markup a document le pixel envoyant Facebook des donnes sur de vrais patients qui se sont ports volontaires pour participer au projet Pixel Hunt, une collaboration entre The Markup et Mozilla Rally. Le projet est une entreprise participative dans laquelle n’importe qui peut installer le module complmentaire de navigateur Rally de Mozilla afin d’envoyer les donnes The Markup sur le Meta Pixel telles qu’elles apparaissent sur les sites qu’ils visitent. Les donnes envoyes aux hpitaux comprenaient les noms des mdicaments des patients, des descriptions de leurs ractions allergiques et des dtails sur leurs prochains rendez-vous chez le mdecin.
La plupart des hpitaux sur la premire page qui avaient le traceur sur leurs sites web ne l’ont pas retir aprs avoir t contact par The Markup
D’anciens rgulateurs, des experts en scurit des donnes de sant et des dfenseurs de la vie prive qui ont examin les conclusions de The Markup ont dclar que les hpitaux en question pourraient avoir enfreint la loi fdrale sur la portabilit et la responsabilit de l’assurance maladie (HIPAA). La loi interdit aux entits couvertes comme les hpitaux de partager des informations de sant personnellement identifiables avec des tiers comme Facebook, sauf lorsqu’un individu a expressment consenti l’avance ou en vertu de certains contrats.
Ni les hpitaux ni Meta n’ont dclar avoir de tels contrats en place, et The Markup n’a trouv aucune preuve que les hpitaux ou Meta obtenaient autrement le consentement exprs des patients.
Je suis profondment troubl par ce que [les hpitaux] font avec la capture de leurs donnes et leur partage , a dclar David Holtzman, un consultant en matire de confidentialit de la sant qui a prcdemment occup le poste de conseiller principal en matire de confidentialit au Dpartement amricain de la sant et des droits humains et au Bureau des services pour les droits civils, qui applique HIPAA. Je ne peux pas dire que [partager ces donnes] est coup sr une violation de la loi HIPAA. Mais il s’agit trs probablement d’une violation de la loi HIPAA .
Des mois plus tard, The Markup a galement dcouvert que Meta tait en mesure d’obtenir des informations financires sur les utilisateurs grce aux outils de suivi intgrs aux services fiscaux populaires, tels que H&R Block, TaxAct et TaxSlayer. Pendant ce temps, d’autres socits mdicales en ligne, comme BetterHelp et GoodRx, ont t frappes de lourdes amendes par la FTC pour avoir partag des donnes sensibles sur les patients avec des tiers plus tt cette anne.
Conclusion
En plus de faire l’objet d’un examen minutieux pour savoir s’il a ou non enfreint les rglementations HIPAA, Cerebral fait l’objet d’une enqute du ministre de la Justice et de la Drug Enforcement Administration sur sa prescription de substances contrles, telles que l’Adderall et le Xanax. Elle a depuis stopp la prescription de ces mdicaments.
Source : communiqu Cerebral
Et vous ?
Quelle lecture faites-vous de cette situation ?
Les organisations voluant dans le domaine de la sant en particulier et dans des domaines o les donnes sont sensibles en gnral (secteur financier et autres) devraient