Meta fait face à des questions croissantes du Congrès sur la confidentialité des données de santé

pink-hospital-folo-1024x576.jpg

Meta est confrontée à des questions croissantes sur son accès aux données médicales sensibles à la suite d’une enquête de balisage qui a révélé que l’outil de suivi des pixels de l’entreprise collectait des détails sur les rendez-vous chez le médecin, les ordonnances et les conditions de santé des patients sur les sites Web des hôpitaux.

Lors d’une audience du Comité sénatorial de la sécurité intérieure et des affaires gouvernementales le 14 septembre, le sénateur Jon Ossoff (D-Ga.) A demandé à Meta – la société mère de Facebook et Instagram – de fournir un compte rendu « complet et précis » des informations médicales qu’il conserve sur les utilisateurs.

« Il y a eu d’importants rapports publics, des controverses et des inquiétudes concernant le produit Meta Pixel et la possibilité que son déploiement sur les sites Web de divers systèmes hospitaliers, par exemple, ait permis à Meta de collecter des données privées sur les soins de santé », a déclaré Ossoff.

publicité

« Nous devons comprendre, en tant que Congrès américain, si Meta collecte, a collecté, a accès ou stocke des données médicales ou de santé pour les personnes américaines », a-t-il ajouté.

En réponse à la question d’Ossoff quant à savoir si Meta dispose de données médicales ou de soins de santé sur ses utilisateurs, Chris Cox, directeur des produits de Meta, a répondu : « Pas à ma connaissance. » Cox a également promis de donner une réponse écrite au comité.

publicité

En juin, The Markup a rapporté que Meta Pixels sur les sites Web de 33 des 100 meilleurs hôpitaux américains de Newsweek transmettait les détails des rendez-vous chez le médecin des patients à Meta lorsque les patients réservaient sur les sites Web. Nous avons également trouvé des Meta Pixels dans les portails patients protégés par mot de passe de sept systèmes de santé collectant des données sur les ordonnances, l’orientation sexuelle et les conditions de santé des patients.

D’anciens régulateurs ont déclaré à The Markup que l’utilisation du pixel par les hôpitaux pourrait avoir enfreint les interdictions de la loi HIPAA (Health Information Portability and Accountability Act) contre le partage d’informations de santé protégées.

« Les annonceurs ne doivent pas envoyer d’informations sensibles sur les personnes via nos outils commerciaux », a écrit le porte-parole de Meta, Dale Hogan, à The Markup dans un communiqué envoyé par e-mail. « Cela va à l’encontre de nos politiques et nous enseignons aux annonceurs comment configurer correctement les outils commerciaux pour éviter que cela ne se produise. Notre système est conçu pour filtrer les données potentiellement sensibles qu’il est capable de détecter.

Depuis l’enquête de The Markup :

  • Depuis le 15 septembre, 28 des 33 hôpitaux ont supprimé le Meta Pixel de leurs pages de réservation de médecins ou l’ont empêché d’envoyer des informations sur les patients à Facebook. Au moins six des sept systèmes de santé avaient également supprimé les pixels de leurs portails patients. Le balisage a contacté les institutions qui ont supprimé le pixel de leurs sites Web après notre enquête publiée en juin. Au moment de mettre sous presse, trois institutions – Sanford Health, El Camino Health et Henry Ford Health – avaient répondu. Lisez leurs déclarations ici.
  • Un système de santé, Novant Health, basé en Caroline du Nord, a envoyé des notifications de violation de données à 3 millions de clients à la suite du rapport de The Markup. Dans la notification de violation, Novant Health a déclaré que le pixel avait été ajouté dans le cadre d’une campagne promotionnelle pour encourager l’utilisation du portail patient MyChart de Novant, mais « le pixel a été configuré de manière incorrecte et peut avoir permis la transmission de certaines informations privées à Meta ». Le 16 septembre, Novant a modifié son message de notification de violation de données pour indiquer que Meta avait informé le fournisseur qu’il filtrait « généralement » les informations médicales sensibles des patients et qu’il n’avait « pas d’informations à renvoyer ou à détruire ».
  • Le bureau du procureur général de Caroline du Nord a déclaré qu’il « enquêtait activement » sur le partage de données des hôpitaux après les appels des législateurs de l’État pour une enquête.
  • Au moins cinq recours collectifs ont été déposés contre Meta, affirmant que la collecte de données du pixel sur les sites Web des hôpitaux enfreignait diverses lois étatiques et fédérales. L’un, déposé contre la société au nom d’un patient du système de santé MedStar basé à Baltimore, affirme que Meta Pixels a collecté des informations sur les patients à partir d’au moins 664 sites Web d’hôpitaux différents. Les autres poursuites ont été intentées au nom de patients de Novant Health et d’hôpitaux de San Francisco, Los Angeles et Chicago.

Pendant ce temps, l’évolution d’une autre affaire judiciaire suggère que Meta pourrait avoir du mal à fournir au comité sénatorial un compte rendu complet des données de santé sensibles qu’il détient sur les utilisateurs.

En mars, deux employés de Meta témoignant dans une affaire concernant le scandale de Cambridge Analytica ont déclaré au tribunal de district américain du district nord de Californie qu’il serait très difficile pour l’entreprise de retrouver toutes les données associées à un seul compte d’utilisateur.

« Il faudrait plusieurs équipes du côté de la publicité pour localiser exactement où les données circulent », a déclaré un ingénieur de Facebook, selon la transcription, qui a été rapportée pour la première fois par The Intercept. « Je serais surpris qu’il y ait même une seule personne qui puisse répondre de manière concluante à cette question étroite. »

Les commentaires des ingénieurs font écho aux mêmes inquiétudes exprimées dans une note de confidentialité de 2021 rédigée par des ingénieurs de Facebook qui a été divulguée à Vice.

« Nous n’avons pas un niveau adéquat de contrôle et d’explicabilité sur la façon dont nos systèmes utilisent les données, et nous ne pouvons donc pas apporter en toute confiance des changements de politique contrôlés ou des engagements externes tels que » nous n’utiliserons pas les données X à des fins Y «  », indique le mémo. auteurs ont écrit.

Cet article a été copublié avec The Markup, une salle de presse à but non lucratif qui étudie la façon dont les institutions puissantes utilisent la technologie pour changer notre société. Inscrivez-vous à ses newsletters ici.

Facebook
Pinterest
Twitter
LinkedIn
Email