Selon une récente étude de The Markup, les sites web de 33 des 100 plus grands hôpitaux américains fournissent des données médicales à Facebook. Il pourrait s’agit d’une violation du Health Insurance Portability and Accountability Act (ou HIPAA).

Facebook récupère des données de santé grâce au Meta Pixel

Selon le média, ce traceur baptisé Meta Pixel permettrait des informations sensibles sur la santé des patients. Parmi les données envoyées à Facebook, on retrouve notamment des détails sur l’état de santé des utilisateurs, leur prescription et des précisions sur leur rendez-vous avec les médecins.

Ces 33 hôpitaux envoient ces données à chaque fois qu’une personne clique sur un bouton pour prendre un rendez-vous médical. Les données sont reliées à une adresse IP, ce qui permet à Facebook d’identifier la personne et potentiellement de lui envoyer des publicités ciblées par la suite. Sur le site web d’un hôpital, le fait de cliquer sur le bouton de prise de rendez-vous permettrait par exemple à Facebook de recevoir le nom du médecin et la pathologie, comme « Alzheimer » ou « asthme », pour laquelle le rendez-vous est prévu.

The Markup a également remarqué que sur 7 sites web, le Meta Pixel était carrément installé sur le portail des patients. Une partie du site web privée, qui nécessite une connexion avec un mot de passe et qui comprend évidemment le dossier de santé des patients avec des données particulièrement détaillées. Dans ce cas précis, le Meta Pixel est capable d’envoyer des données très précises à Facebook.

Une violation de l’HIPAA ?

Aux États-Unis, l’HIPAA (pour Health Insurance Portability and Accountability Act) est censé réguler ces pratiques et protéger les données médicales des patients. En effet, les hôpitaux ne sont pas autorisés à partager des informations de santé identifiables avec des tiers sans le consentement des patients. Ils peuvent utiliser et partager des données anonymes (et le font souvent). Cependant, les informations liées à une adresse IP sont considérées comme des « informations identifiables » et bénéficient donc logiquement d’une protection supplémentaire.

Selon Glenn Cohen, directeur de la faculté du Petrie-Flom Center for Health Law Policy, Biotechnology, and Bioethics à la Harvard Law School, « même s’il y a peut-être une astuce dans l’architecture juridique qui permet à cette pratique d’être légale, cela va totalement à l’encontre du principe de l’HIPAA ».

En effet, les patients sont persuadés d’être protégés par cette loi, alors que ce n’est vraisemblablement pas le cas. Un porte-parole de Meta a déclaré à The Markup que Facebook dispose de filtres qui détectent et suppriment les données de santé sensibles envoyées par les entreprises. Difficile à croire.

Une autre enquête de The Markup avait révélé plus tôt cette années que les personnes cherchant des informations sur l’avortement ou les contraceptifs d’urgence (des informations que Facebook n’est pas censé recevoir) se sont retrouvées sur la plateforme. En conclusion de cette enquête, 7 hôpitaux ont décidé de retirer le Meta Pixel de leur site web.