Les sites de santé britanniques, passoires de données sensibles

L’écosystème de la publicité en ligne se retrouve à nouveau sommé de justifier la légitimité de ses méthodes, cette fois-ci au Royaume-Uni et sous la pression d’une enquête du « Financial Times ».

L’investigation du quotidien des affaires britannique révèle en effet que les sites de santé les plus populaires au Royaume-Uni partagent les données médicales les plus sensibles de leurs internautes avec des dizaines de sociétés du secteur de la publicité en ligne dans le monde entier. Et ce, sans demander de façon claire le consentement des personnes concernées, comme l’exige le règlement général sur la protection des données (RGPD) européen, applicable depuis mai 2018. Environ 80 % des 100 sites étudiés sont concernés. Seul le site Web du NHS, le service de santé public, ne transmet pas de données.

Le secteur de la publicité en ligne vit des données achetées et vendues et permettant à des annonceurs de cibler des clients potentiels. Les sites Web tels que les sites de santé en question valorisent notamment les informations recueillies sur leurs visiteurs auprès de brokers de données qui les mettent à disposition de l’industrie de la publicité.

Serment d’Hippocrate

Les dérapages tels que ceux dénoncés par le « FT », auxquels le grand public est de plus en plus sensible, en tout cas en Occident, pourraient aboutir un jour à une réglementation beaucoup plus restrictive. Le secteur de la santé est tout particulièrement dans le viseur. Le tout nouveau partenariat entre Google et le réseau de santé américain Ascension ferait en effet déjà l’objet d’une enquête du département américain de la Santé et des Services sociaux, selon le « Wall Street Journal ».

Les exemples donnés par le « Financial Times » ont de quoi faire frémir une profession médicale tenue au serment d’Hippocrate. Drugs.com a envoyé des noms de médicaments à Doublie- Click, filiale de Google, un géant très ambitieux dans la santé. Des symptômes transmis pour évaluation à WebMD ainsi que le diagnostic en réponse ont été envoyés à Facebook même lorsqu’il s’agissait d’overdose. BabyCenter a envoyé des informations sur le cycle d’ovulation à Amazon. La British Heart Foundation ou Bupa, un prestataire de médecine privé, ont transmis des mots clefs comme « maladie du coeur » ou « envisage un avortement » à Scorecard Research et BlueKai, filiale d’Oracle.

Sur 8 des 10 sites couvrant la panoplie des contenus de santé disponibles en ligne et pour lesquels le « FT » a creusé davantage son enquête, un identifiant permettant potentiellement de lier l’information à un individu donné par son navigateur a été trouvé. En outre, les cookies permettant de collecter les informations ont été placés avant que ne soit prévenu l’internaute sur la collecte possible de ses données.

Google, avec sa filiale Double-Click, est la première destination des informations des sites de santé britanniques, avec 78 % des sites testés, suivi par Amazon (48 %) puis Facebook, Microsoft et AppNexus, un géant de l’« adtech ». Google est particulièrement ambitieux dans la santé et le fitness, comme le montre son acquisition récente des bracelets Fitbit.

Cibler des clients de traitements

Tous les sites concernés n’ont pas répondu à l’enquête du « FT ». Google a affirmé qu’il ne créait pas de profils publicitaires à partir de données sensibles et que ces sites avaient été identifiés comme il se doit. Les données sont utilisées pour des publicités répondant au contexte de la page visitée, sans lien avec son visiteur. Ou bien pour éviter des fraudes ou vérifier l’engagement des internautes avec un message publicitaire, dit le groupe.

Facebook n’a pas pu confirmer ce qu’il faisait de ces informations. Amazon assure de son côté qu’« il n’utilise pas les informations d’éditeurs de sites pour caractériser ses segments d’audience ». Les destinataires de ces données rejettent aussi sur les sites de santé en question la responsabilité du consentement des internautes à la collecte de leurs informations.

Recueillir des données personnelles de santé permet de cibler des clients de traitements. Cela peut aussi déboucher sur des discriminations, même quand les annonceurs ne connaissent pas l’identité des internautes concernés. Des gens
étiquetés comme malades, et donc potentiellement moins enclins à des dépenses superflues, peuvent être exclus de campagnes marketing et d’offres avantageuses, note même un expert interrogé par le « FT ».

L’Information Commissioner’s Office (ICO), régulateur de la publicité en ligne outre-Manche, avait donné jusqu’à décembre au secteur pour faire le ménage dans ses pratiques. L’enquête du « FT » va faire monter la tension d’un cran.

Source : Les Échos

Haut