Les applications de santé partagent vos préoccupations avec les annonceurs. HIPAA ne peut pas l’arrêter.

De la « dépression » au « VIH », nous avons trouvé des applications de santé populaires qui partageaient des problèmes de santé potentiels et des identifiants d’utilisateur avec des dizaines de sociétés de publicité.

(Vidéo : Katty Huertas pour le Washington Post)

Les soins numériques ont leurs avantages. La vie privée n’en fait pas partie.

Dans un pays comptant des millions de familles non assurées et une pénurie de professionnels de la santé, beaucoup d’entre nous se tournent vers des applications et des sites Web de soins de santé pour obtenir des informations accessibles ou même des traitements possibles. Mais lorsque vous démarrez un vérificateur de symptômes ou une application de thérapie numérique, vous partagez peut-être inconsciemment vos préoccupations avec plus que le créateur de l’application.

Facebook a a été pris recevoir des informations sur les patients à partir des sites Web des hôpitaux via l’outil de suivi. Google magasins nos recherches sur Internet liées à la santé. Applications de santé mentale Quitter la pièce dans leur politique de confidentialité pour partager des données avec des tiers non répertoriés. Selon nos recherches, les utilisateurs bénéficient de peu de protection en vertu de la loi HIPAA (Health Insurance Portability and Accountability Act) en ce qui concerne les données numériques, et les applications de santé populaires partagent des informations avec un large éventail d’annonceurs.

Vous avez planifié un avortement. Le site Web de Planned Parenthood pourrait le dire à Facebook.

La plupart des données partagées ne nous identifient pas directement. Par exemple, les applications peuvent partager une chaîne de chiffres appelée “identifiant” associée à nos téléphones plutôt qu’à nos noms. Tous les destinataires de ces données ne font pas partie du secteur de la publicité. Certains proposent des analyses qui montrent aux développeurs comment les utilisateurs se déplacent dans leurs applications. Et les entreprises affirment que partager les pages que vous visitez, comme une page intitulée “dépression”, n’est pas la même chose que révéler des problèmes de santé sensibles.

Mais les experts en confidentialité affirment que l’envoi d’identifiants d’utilisateur avec des mots-clés à partir du contenu que nous visitons expose les consommateurs à des risques inutiles. Les collecteurs de mégadonnées, tels que les courtiers ou les agences de publicité, peuvent reconstituer le comportement ou les préoccupations d’une personne à l’aide de plusieurs informations ou identifiants. Cela signifie que la “dépression” pourrait devenir un autre point de données qui aide les entreprises à nous cibler ou à nous profiler.

Pour vous donner une idée du partage de données en coulisses, le Washington Post a fait appel à plusieurs experts et entreprises de la confidentialité, y compris des chercheurs de DuckDuckGo, qui fabrique une variété d’outils de confidentialité en ligne. Après avoir partagé leurs découvertes avec nous, nous avons indépendamment vérifié leurs affirmations à l’aide d’un outil appelé mitmproxy, qui nous a permis de visualiser le contenu du trafic Web.

Nous avons découvert que plusieurs applications de santé Android populaires, notamment Drugs.com Medication Guide, WebMD : Symptom Checker et Period Calendar Period Tracker, fournissaient aux annonceurs les informations dont ils avaient besoin pour commercialiser auprès de personnes ou de groupes de consommateurs en fonction de leurs problèmes de santé.

Par exemple, l’application Android de Drugs.com a envoyé des données à plus de 100 entités tierces, y compris des sociétés de publicité, a déclaré DuckDuckGo. Les termes utilisés dans ces transferts de données incluent « herpès », « VIH », « adderall » (un médicament pour traiter le trouble déficitaire de l’attention/hyperactivité), « diabète » et « grossesse ». Ces mots-clés accompagnaient les identifiants d’appareils, soulevant des questions sur la confidentialité et le ciblage.

Drugs.com a déclaré qu’il ne transmettait pas de données qualifiées d ‘”informations personnelles sensibles” et que ses publicités étaient pertinentes pour le contenu de la page, et non pour la personne qui consulte cette page. Lorsque The Post a souligné que dans un cas, Drugs.com semblait envoyer à une société extérieure le prénom et le nom de l’utilisateur – un faux nom utilisé par DuckDuckGo pour ses tests – il a déclaré que les utilisateurs n’étaient jamais censés entrer leur nom. ” et qu’il arrêtera d’envoyer le contenu de ce champ.

Parmi les termes partagés par WebMD avec les sociétés de publicité, ainsi que les identifiants d’utilisateur, figuraient “dépendance” et “dépression”, selon DuckDuckGo. WebMD a refusé de commenter.

Selon notre enquête, Period Calendar a partagé des informations, y compris des identifiants, avec des dizaines de sociétés tierces, y compris des annonceurs. Le développeur n’a pas répondu aux demandes de commentaires.

Ce qui se passe dans les agences de publicité elles-mêmes est souvent un mystère. Mais ID5, une société de technologie publicitaire qui a reçu des données de WebMD, a déclaré que son travail consiste à générer des identifiants d’utilisateur qui permettent aux applications de rendre leurs publicités “plus précieuses”.

“Notre travail consiste à identifier les clients, pas qui ils sont”, a déclaré Mathieu Roche, co-fondateur et PDG d’ID5.

Jean-Christophe Peube, vice-président exécutif de la société adtech Smart, qui a depuis acquis deux autres sociétés adtech et l’a renommée Equativ, a déclaré que les données qu’elle reçoit de Drugs.com pourraient être utilisées pour cibler les consommateurs dans des “catégories d’intérêt”.

Peube a déclaré dans une déclaration partagée avec The Post que le ciblage publicitaire basé sur les intérêts est meilleur pour la confidentialité que l’utilisation de technologies telles que les cookies pour cibler les individus. Mais certains consommateurs peuvent ne pas vouloir que leurs problèmes de santé soient utilisés à des fins publicitaires.

Connaître un numéro ou un groupe d’intérêt plutôt qu’un nom n’empêcherait pas les annonceurs de cibler les personnes atteintes de certains problèmes de santé ou conditions, déclare Pam Dixon, directrice exécutive du groupe de recherche à but non lucratif World Privacy Forum.

Comment pouvons-nous protéger nos informations de santé

Nous acceptons les politiques de confidentialité de ces applications lorsque nous acceptons leurs politiques de confidentialité. Mais peu d’entre nous ont le temps jusqu’à patauger dans le jargon juridiquea déclaré Andrew Crawford, avocat principal au Centre pour la démocratie et la technologie.

Parcourir une politique de confidentialité pour repérer les drapeaux rouges

“Nous cliquons rapidement et acceptons” d’accord “sans vraiment penser aux compromis potentiels en aval”, a-t-il déclaré.

Ces compromis peuvent prendre diverses formes, telles que nos informations entre les mains de fournisseurs de données, d’employeurs, d’assureurs, d’agents immobiliers, de prêteurs ou d’application de la loi, selon les experts de la confidentialité.

Même de petites informations peuvent être combinées pour en déduire de grandes choses sur nos vies, a déclaré Lee Tien, avocat senior de l’organisation de protection de la vie privée Electronic Frontier Foundation. Ces informations sont appelées données proxy, et il y a plus de dix ans, elles… a aidé Target à comprendre laquelle de ses clientes étaient enceintes en regardant qui achetait une lotion non parfumée.

“Il est très, très facile d’identifier les gens si vous avez suffisamment de données”, a déclaré Tien. « Souvent, les entreprises vous diront : ‘Eh bien, c’est vrai, mais personne n’a toutes les données.’ Nous ne savons pas vraiment combien de données les entreprises possèdent.

Certains législateurs tentent de freiner le partage des données de santé. Rebecca Bauer-Kahan, membre de l’Assemblée de l’État de Californie, a présenté en février un projet de loi qui pourrait redéfinir les “informations médicales” dans la loi sur la confidentialité médicale de l’État pour inclure les données collectées par les applications de santé mentale. Entre autres choses, cela interdirait aux applications d’utiliser “un trouble de santé mentale ou de toxicomanie dérivé ou diagnostiqué d’un consommateur” à des fins autres que la prestation de soins.

Le Center for Democracy and Technology, ainsi que le groupe industriel eHealth Initiative, ont proposé un cadre volontaire pour aider les applications de santé à protéger les informations sur leurs utilisateurs. Elle ne limite pas la définition des « données de santé » aux services d’un professionnel, ni à une liste de termes protégés, mais inclut toutes les données qui peuvent aider les annonceurs à obtenir des informations ou à déduire les problèmes de santé d’une personne. Il appelle également les entreprises à promettre publiquement et ostensiblement de ne pas associer de données «anonymisées» à une personne ou à un appareil – et à exiger de leurs sous-traitants qu’ils promettent la même chose.

Google vous permet de limiter les annonces de grossesse et de perte de poids

Alors, qu’est-ce que tu peux faire? Il existe plusieurs façons de restreindre le partage des informations de l’application de santé, comme ne pas lier l’application à votre compte Facebook ou Google lors de la connexion. Si vous utilisez un iPhone, sélectionnez “demander à l’application de ne pas suivre” lorsque vous y êtes invité. Si vous utilisez Android, vous devrez réinitialiser régulièrement votre identifiant publicitaire Android. Renforcez les paramètres de confidentialité de votre téléphone, que vous utilisiez un iPhone ou Android.

Si les applications demandent des autorisations de partage de données supplémentaires, dites non. Si vous êtes préoccupé par les informations que vous avez déjà fournies, vous pouvez essayer un demande de suppression de données. Les entreprises ne sont pas tenues d’honorer la demande à moins que vous ne viviez en Californie en raison de la loi sur la confidentialité de l’État, mais certaines entreprises disent qu’elles supprimeront les données de tout le monde.

Leave a Reply

Your email address will not be published.