24 juin 2021

Doctolib a transféré des données sensibles à Facebook et Outbrain


Selon le média allemand Mobilsicher, Doctolib aurait envoyé les mots-clés tapés par les utilisateurs dans le moteur de recherche de la plateforme à Facebook et Outbrain, pendant plusieurs mois. Pour quelles raisons ? Nous ne le savons pas clairement pour le moment. Depuis la découverte de ce partage de données, la plateforme médicale a stoppé cette pratique et publié un communiqué (pdf).

Pourquoi nos recherches médicales intéressent-elles Facebook ?

C'est en effectuant une analyse de la version allemande de Doctolib que des journalistes allemands ont découvert que la plateforme médicale envoyait les recherches effectuées par les utilisateurs à Facebook et Outbrain. Si un internaute allemand tapait dans sa barre de recherche les termes "allergies" ou bien "cancer du sein", les requêtes étaient envoyées à l'identique aux deux partenaires de Doctolib. Facebook et Outbrain recevaient également l’identifiant marketing correspondant à l'utilisateur (le FacebookID ou le MarketerID), ainsi que l’adresse IP.

Même sans les connaître officiellement, on peut imaginer les raisons de cette récolte d'informations... Avec toutes ces données, Facebook pouvait aisément cibler les utilisateurs avec les bonnes publicités, en fonction de leur pathologie. L'analyse de la version allemande de la plateforme a eu lieu le 18 juin. Trois jours plus tard, le 21 juin, Doctolib a immédiatement stoppé l'envoi des données à Facebook. Les deux mouchards ont été supprimés. Selon la direction de Doctolib, ces deux trackers auraient servi à "mesurer le succès"... Une explication floue qui ne convainc pas.

Il reste désormais à savoir si les recherches effectuées sur Doctolib sont caractérisées comme des données de santé, car strictement encadrées. Pour la CNIL, ce type d'information "sont les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne."

Doctolib va devoir se justifier

La plateforme a du mal à se justifier sur l'envoi des données médicales à Facebook et Outbrain. Concernant la France Doctolib explique dans un communiqué qu'elle "n’utilise aucun cookie marketing externe sur son site Internet et ses applications mobiles".

Aujourd'hui, Doctolib a probablement stoppé l'envoi des données à Facebook dans toutes les versions de sa plateforme. Il est désormais impossible de trouver une preuve de cette pratique sur le site français. Alors que la plateforme est passée de 1.000 consultations par jour à 100.000 depuis le début de la crise sanitaire, cet exemple est typique du risque que peuvent représenter de telles applications pour les données de santé des internautes.

La politique de protection des données médicales était pourtant devenue le cheval de bataille de Doctolib. Comme quoi, il faut parfois creuser un tout petit peu pour découvrir des pratiques dont l'entreprise ne se vante pas. Avant cette découverte, l’association allemande Digitalcourage avait décerné à Doctolib le prix "Big Brother 2021", pour la gestion trop peu transparente des données médicales des patients.

L'association pointait notamment du doigt la manière dont, en Allemagne, Doctolib collecte la base de patients des professionnels de santé. Connaissant désormais les pratiques de la plateforme, on peut naturellement se demander comment sont utilisées ces données.

Source

Aucun commentaire:

Enregistrer un commentaire

Remarque : Seul un membre de ce blog est autorisé à enregistrer un commentaire.