Cerebral, une startup de télésanté spécialisée dans la santé mentale, affirme avoir partagé par inadvertance les informations sensibles de plus de 3,1 millions de malades avec Google, Meta, TikTok et d’autres annonceurs tiers, comme rapporté précédemment par Tech Crunch. Dans un avis publié sur le site Web de l’entreprise, Cerebral admet avoir exposé une longue liste de données de patients avec les outils de suivi qu’il utilise depuis octobre 2019.
Les informations concernées par la surveillance comprennent tout, depuis les noms des patients, les numéros de téléphone, les adresses e-mail, les dates de naissance, les adresses IP, les informations d’assurance, les dates de rendez-vous, le traitement, etc. Il peut même avoir exposé les réponses que les clients ont remplies dans le cadre de l’auto-évaluation de la santé mentale sur le site Web et l’application de l’entreprise, que les patients peuvent utiliser pour planifier des rendez-vous thérapeutiques et recevoir des médicaments sur ordonnance.
Selon Cerebral, ces informations ont été diffusées grâce à l’utilisation de pixels de suivi, ou les morceaux de code Meta, TikTok et Google permettent aux développeurs de les intégrer dans leurs applications et sites Web. Le Métapixel, par exemple, peut collecter des données sur l’activité d’un utilisateur sur un site Web ou une application après avoir cliqué sur une annonce sur la plate-forme, et même suivre les informations qu’un utilisateur remplit sur un formulaire en ligne. Bien que cela permette aux entreprises, comme Cerebral, de mesurer la façon dont les utilisateurs interagissent avec leurs publicités sur diverses plates-formes et de suivre les étapes qu’ils suivent par la suite, cela donne également à Meta, TikTok et Google l’accès à ces informations, qu’ils peuvent ensuite utiliser pour mieux comprendre leur propres utilisateurs.
Les informations exposées peuvent « varier » d’un patient à l’autre.
Comme l’a noté Cerebral, les informations exposées peuvent « varier » d’un patient à l’autre en fonction de plusieurs facteurs, notamment « les actions que les individus ont entreprises sur les plates-formes de Cerebral, la nature des services fournis par les sous-traitants, la configuration des technologies de suivi », et plus encore. . La société indique qu’elle informera les utilisateurs concernés et ajoute que « peu importe la manière dont un individu interagit avec la plate-forme de Cerebral », elle n’a pas exposé les numéros de sécurité sociale, les numéros de carte de crédit ou les informations de compte bancaire.
Après avoir initialement trouvé la faille de sécurité en janvier, Cerebral affirme avoir « désactivé, reconfiguré et/ou supprimé » l’un des pixels de suivi sur la plate-forme pour éviter de futures expositions, et a « amélioré » ses « pratiques de sécurité de l’information et processus de vérification technologique ». .”
Cerebral est tenu par la loi de divulguer les violations potentielles de la loi HIPAA, également connue sous le nom de Health Insurance Portability and Accountability Act. Cela interdit aux prestataires de soins de santé de divulguer des informations sur les patients à quiconque autre que le patient ou à toute personne à laquelle le patient a consenti à recevoir des informations sur sa santé. La violation fait actuellement l’objet d’une enquête par l’Office américain des droits civils et fait suite à des incidents similaires impliquant des outils de suivi des pixels.
L’année dernière, une enquête de Le balisage a constaté que certains des meilleurs hôpitaux du pays envoyaient des informations sensibles sur les patients à Meta via le pixel de l’entreprise. Cela a déclenché deux recours collectifs, qui allèguent que Meta et les hôpitaux en question ont violé les lois sur la confidentialité médicale.
Des mois plus tard, Le balisage a également constaté que Meta était en mesure d’obtenir des informations financières sur les utilisateurs grâce aux outils de suivi intégrés aux services fiscaux populaires, tels que H&R Block, TaxAct et TaxSlayer. Pendant ce temps, d’autres sociétés médicales en ligne, comme BetterHelp et GoodRx, ont été frappées de lourdes amendes par la FTC pour avoir partagé des données sensibles sur les patients avec des tiers plus tôt cette année.
En plus de faire l’objet d’un examen minutieux pour savoir s’il a ou non enfreint les réglementations HIPAA, Cerebral fait l’objet d’une enquête du ministère de la Justice et de la Drug Enforcement Administration sur sa prescription de substances contrôlées, telles que l’Adderall et le Xanax. Elle a depuis stoppé la prescription de ces médicaments.