Symptômes médicaux, diagnostics, médicaments prescrits, informations sur la fertilité… autant de données personnelles captées par les sites internet sur la santé. Le a analysé 100 sites et découvert que 79% d’entre eux déposaient des cookies permettant à des tiers de suivre la navigation de leurs visiteurs sur internet. Et ce sans qu’aucun consentement n’ait été obtenu.
C’est la filiale publicitaire de Google, DoubleClick, qui recueille la grande majorité des données (78%), devant Amazon (48%), puis Facebook, Microsoft et AppNexus (une adtech). «Ces découvertes sont remarquables et très inquiétantes», réagit le chercheur Wolfie Christl, interrogé par le FT. «De mon point de vue, ce genre de donnée est clairement sensible et tombe sous le coup de la protection du RGPD. Leur transmission représente certainement une violation de la loi.»
Les géants du numérique assurent ne pas utiliser ces informations à des fins publicitaires, mais n’ont pas indiqué à quoi elles leur servaient.
Aucune agence de protection des données aux États-Unis
Mardi, c’est le qui révélait l’existence d’un accord entre Google et Ascension, un groupe qui exploite 2.500 sites de soins, dont 150 hôpitaux et 50 maisons de retraite. Un accord prévoyant le transfert des dossiers médicaux complets des patients fréquentant ces établissements – sans leur consentement – et visant à développer des outils d’intelligence artificielle permettant de suggérer aux médecins des examens complémentaires ou des prestations supplémentaires, voire d’identifier des anomalies dans la chaîne de soins.
Les deux contractants soulignent que leur association respecte le Health Insurance Portability and Accountability Act de 1996, selon lequel les acteurs privés du secteur de la santé peuvent partager des données sans mettre les patients au courant si «les informations sont utilisées pour aider l’entité à assurer ses missions de santé».
Google indique à ce titre que «ces données ne peuvent pas être – et ne seront pas – combinées avec les autres données détenues sur des consommateurs par Google». Mais les inquiétudes provoquées par cet accord renforcent les appels à une véritable politique de protection des données et à la création d’une agence fédérale à l’image de la CNPD au Luxembourg.