Advocate Aurora Health (*), organisme de santé à but non lucratif américain majeur (27 hôpitaux, 500 sites de soins, 75.000 employés, 10.000 médecins, doté d’un budget annuel de 14 milliards de dollars, contribuant communautaire à hauteur de 2,5 milliards de dollars), affirme que la violation du suivi des données de ses patients par Google et Facebook (Meta) affecte 3 millions de personnes et qu’il en a documenté les causes. Par suite, la structure hospitalière et médico-sociale a décidé de désactiver tous les outils des industriels numériques précités. Elle en a averti formellement et juridiquement les 3 millions de patients concernés. Une pierre supplémentaire dans le jardin mercantile des deux géants industriels. Jusqu’à quand ?
Signalement pour abus
Le système hospitalier du Midwest américain considère que l'utilisation des technologies de suivi des sites Web de Google et de Facebook constitue une violation des données et informe 3 millions de ses patients que les géants de l'informatique ont obtenu des informations dans des conditions non juridiquement acceptables. Advocate Aurora Health affirme avoir intégré des technologies de suivi dans ses portails de patients et dans certains de ses widgets de planification dans le but de « mieux comprendre les besoins et les préférences des patients ». Le système, à but non lucratif, très impliqué dans les soins de santé aux plus fragiles, notamment dans l'Illinois et le Wisconsin, a effectué un signalement formel auprès du ministère de la Santé et des Services sociaux le 14 octobre, en indiquant au gouvernement fédéral qu'il avait subi une violation impliquant des accès et des divulgations non autorisés.
Une gravité potentielle majeure pour les droits des femmes
Les inquiétudes concernant l'utilisation des données de traçage par le secteur de la santé ont explosé, surtout après la décision de la Cour suprême, en juin, d'annuler l'arrêt Roe v. Wade, le précédent judiciaire de cinq décennies qui garantissait l'accès à l'avortement dans tout le pays. Les spécialistes de la santé génésique et de la protection de la vie privée ont averti que « les forces de l'ordre pourraient tenter de recueillir des informations sur les avortements par le biais des empreintes numériques laissées en ligne et dans les smartphones et autres matériels numériques connectés ».
Dans une déclaration, Advocate Aurora Health indique qu'elle a depuis désactivé ou supprimé les services de suivi en ligne fournis par plusieurs fournisseurs, dont Google et Facebook. Les tiers ont obtenu des données, notamment « les noms et prénoms, les dates, heures et types de rendez-vous ou de procédures programmés, ainsi que des informations sur les assurances ». L'ampleur de la collecte de données peut avoir varié selon que les utilisateurs étaient également connectés à Facebook ou à Google et selon que leur navigateur bloquait ou non les cookies. (Note : ce qui est rarement le cas en général).
L'organisation dit avoir lancé une enquête interne pour mieux comprendre quelles informations sur les patients ont été transmises. Les géants de la technologie n'ont pas obtenu les numéros de sécurité sociale ou les données des cartes de paiement des patients. « Nous n'avons connaissance d'aucune utilisation abusive d'informations résultant de cet incident », déclare Advocate Aurora Health.
Une controverse plus large.
Meta, la société mère de Facebook, est confrontée à au moins quatre recours collectif sur le point d'être regroupées en une seule affaire judiciaire pour des violations présumées de l'HIPAA par sa technologie de suivi. Une étude récente de la société Lokker, spécialisée dans la confidentialité des données, a révélé que le nombre d'hôpitaux et de sites Web de prestataires de soins de santé utilisant l’outil Facebook Pixel et des outils de suivi similaires s'élève à plusieurs milliers, a déclaré Ian Cohen, PDG de la société, lors d'une récente interview accordée à l'Information Security Media Group. Il suggère aux entreprises de « supprimer Facebook Pixel le temps de déterminer où il se trouve et quelles données il collecte. Assurez-vous qu'il ne se trouve sur aucune page qui recueille des données ou sur laquelle les gens cherchent des questions médicales de quelque nature que ce soit ».
Rachel Rose, avocate spécialiste des questions de réglementation se veut alarmante sur la gouvernance « Bien qu'Advocate Aurora Health a mis en œuvre une mesure corrective prudente en désactivant les outils de collecte, la mesure préventive consistant à comprendre comment les outils fonctionnaient et quelles données étaient accessibles aurait dû être prise dès le départ ». Rachel Rose n'est pas impliquée dans le litige Meta. Encore et toujours, la trajectoire de protection est défaillante et ce n’est pas une question technique ni un problème de financement mais bien l’objet d’un défaut de vision et de stratégie de la part des mandataires sociaux.
L'ampleur du danger
« Le secteur des soins de santé, stimulé par les poursuites judiciaires, commence seulement à reconnaître l'ampleur du danger que représentent les minuscules bouts de code qui exploitent les logiciels destinés à faciliter la communication et l'accès des patients », déclare Paul Hales, avocat spécialisé dans la réglementation, du Hales Law Group, qui n'est pas impliqué dans le litige Meta. « La direction n'était manifestement pas au courant de ce problème technique. Ni intéressé d’ailleurs ! Elle est pourtant responsable des opérations légales et devraient prendre des mesures immédiates pour identifier et supprimer les menaces et sécuriser leurs systèmes d'information comme l’y oblige la Loi fédérale », dit-il. Advocate Aurora Health admet « candidement » qu'elle abritait sans le savoir des codes informatiques cachés permettant l'exposition continue des identités médicales des patients. « Il s'agit de la dernière révélation en date de l'extraordinaire danger pour la sécurité des patients que représentent les logiciels furtifs conçus pour identifier et suivre les patients et tirer profit de l'utilisation non autorisée d'informations médicales privées à des fins mercantiles », ajoute-t-il.
Il serait étonnant qu’en France nous soyons, bien qu’extraordinairement intelligents et modestes, protégés des mêmes problèmes. Albert Einstein relativisait tout en sagesse en indiquant qu’en général « il est rare que les mêmes causes produisent des effets différents ». Rendez-vous au prochain scandale.
(*) https://www.advocateaurorahealth.org/pdfs/system-fact-sheet-nov-2021.pdf
(*) https://www.advocateaurorahealth.org/
https://www.advocateaurorahealth.org/pixel-notification/
La santé publique doit être la deuxième priorité du Parlement européen, selon un sondage
Pas d’écrans avant 3 ans, pas de téléphone avant 11 ans… : la commission d’experts propose un guide fondé sur la science
Violences sexistes et sexuelles
Comment s’enracinent les schémas de domination à l’hôpital
Préparation du système de santé aux Jeux Olympiques : Frédéric Valletoux affiche sa confiance