Selon le chercheur Wolfie Christl, «ces découvertes sont remarquables et très inquiétantes». (Photo: Shutterstock)

Selon le chercheur Wolfie Christl, «ces découvertes sont remarquables et très inquiétantes». (Photo: Shutterstock)

Le Financial Times révèle, mercredi, que des acteurs de la santé ont partagé des données personnelles sensibles à des dizaines de sociétés à travers le monde, au lendemain du tollé provoqué aux États-Unis par un accord entre Google et un groupe d’hôpitaux.

Symptômes médicaux, diagnostics, médicaments prescrits, informations sur la fertilité… autant de données personnelles captées par les sites internet sur la santé. Le  a analysé 100 sites et découvert que 79% d’entre eux déposaient des cookies permettant à des tiers de suivre la navigation de leurs visiteurs sur internet. Et ce sans qu’aucun consentement n’ait été obtenu.

C’est la filiale publicitaire de Google, DoubleClick, qui recueille la grande majorité des données (78%), devant Amazon (48%), puis Facebook, Microsoft et AppNexus (une adtech). «Ces découvertes sont remarquables et très inquiétantes», réagit le chercheur Wolfie Christl, interrogé par le FT. «De mon point de vue, ce genre de donnée est clairement sensible et tombe sous le coup de la protection du RGPD. Leur transmission représente certainement une violation de la loi.»

Les géants du numérique assurent ne pas utiliser ces informations à des fins publicitaires, mais n’ont pas indiqué à quoi elles leur servaient.

Aucune agence de protection des données aux États-Unis

Mardi, c’est le  qui révélait l’existence d’un accord entre Google et Ascension, un groupe qui exploite 2.500 sites de soins, dont 150 hôpitaux et 50 maisons de retraite. Un accord prévoyant le transfert des dossiers médicaux complets des patients fréquentant ces établissements – sans leur consentement – et visant à développer des outils d’intelligence artificielle permettant de suggérer aux médecins des examens complémentaires ou des prestations supplémentaires, voire d’identifier des anomalies dans la chaîne de soins.

Les deux contractants soulignent que leur association respecte le Health Insurance Portability and Accountability Act de 1996, selon lequel les acteurs privés du secteur de la santé peuvent partager des données sans mettre les patients au courant si «les informations sont utilisées pour aider l’entité à assurer ses missions de santé».

Google indique à ce titre que «ces données ne peuvent pas être – et ne seront pas – combinées avec les autres données détenues sur des consommateurs par Google». Mais les inquiétudes provoquées par cet accord renforcent les appels à une véritable politique de protection des données et à la création d’une agence fédérale à l’image de la CNPD au Luxembourg.

Le quotidien britannique a décelé des dizaines de connexions partant des sites grand public sur la santé et aboutissant à des annonceurs, sans que les internautes n’aient jamais donné leur consentement à la transmission de leurs données personnelles de santé. (Capture d’écran Financial Times)

Le quotidien britannique a décelé des dizaines de connexions partant des sites grand public sur la santé et aboutissant à des annonceurs, sans que les internautes n’aient jamais donné leur consentement à la transmission de leurs données personnelles de santé. (Capture d’écran Financial Times)

Articles Associés