Trop souvent, les publicités numériques finissent par cibler de manière inappropriée les personnes les plus vulnérables en ligne, y compris les victimes d’abus et les enfants. Ajoutez à cette liste les clients de plusieurs sociétés de médecine numérique et de tests génétiques, dont les sites utilisaient des outils de suivi des publicités qui auraient pu révéler des informations sur l’état de santé des personnes.
Dans une étude récente menée par des chercheurs de l’Université Duke et le groupe axé sur la confidentialité des patients, le Light Collective, 10 défenseurs des droits des patients qui sont actifs dans la communauté du cancer héréditaire et les groupes de soutien du cancer sur Facebook, dont trois qui sont des administrateurs de groupe Facebook, ont téléchargé et analysé leur données de la fonctionnalité « Off Facebook Activity » de la plateforme en septembre et octobre. L’outil montre quelles informations des tiers partagent avec Facebook et sa société mère Meta concernant votre activité sur d’autres applications et sites Web. Outre les sites de vente au détail et de médias qui apparaissent généralement dans ces rapports, les chercheurs ont découvert que plusieurs sociétés de tests génétiques et de médecine numérique avaient partagé des informations sur leurs clients avec le géant des médias sociaux pour le ciblage publicitaire.
Une analyse plus approfondie de ces sites Web, à l’aide d’outils d’identification de trackers tels que Privacy Badger de l’Electronic Frontier Foundation et Blacklight de The Markup, a révélé les modules de technologie publicitaire que les entreprises avaient intégrés sur leurs sites. Les chercheurs ont ensuite vérifié les politiques de confidentialité des entreprises pour voir si elles autorisaient et divulguaient ce type de suivi intersite et le flux de données vers Facebook qui peut en résulter. Dans trois des cinq cas, les politiques des entreprises n’avaient pas de langage clair sur les outils tiers qui pourraient être utilisés pour recibler ou réidentifier les utilisateurs sur le Web à des fins de marketing.
« Ma réaction a été choquée de réaliser les grandes pièces manquantes de ces politiques », déclare Andrea Downing, co-auteur de l’étude, chercheuse indépendante en sécurité et présidente du Light Collective. « Et lorsque nous avons parlé à certaines de ces entreprises, il semblait vraiment qu’elles ne comprenaient tout simplement pas la technologie publicitaire qu’elles utilisaient. Cela doit donc être un réveil. »
Downing et le co-auteur de l’étude, Eric Perakslis, directeur scientifique et numérique de l’Institut de recherche clinique de l’Université Duke, soulignent que, bien que la publicité ciblée soit un écosystème largement opaque, le suivi peut avoir des implications particulières pour les populations de patients. Dans le processus de réidentification des utilisateurs sur plusieurs sites, par exemple, un outil de suivi tiers pourrait rassembler des informations sur l’état de santé d’un utilisateur tout en créant un profil plus large de ses intérêts, de sa profession, des empreintes digitales de l’appareil et de la région géographique. Et l’interdépendance de l’écosystème publicitaire signifie que cette image composite peut potentiellement extraire des informations de toutes sortes de navigation sur le Web, y compris l’activité sur des sites comme Facebook. Un exemple classique est celui des publicités ciblées invasives auxquelles les femmes enceintes et autres sont constamment confrontées en fonction des hypothèses des spécialistes du marketing concernant leur état de santé.
« La question de cette expérience était ‘Les patients peuvent-ils croire les termes et conditions qu’ils acceptent sur les sites liés à la santé ? Et s’ils ne le peuvent pas, les entreprises savent-elles même qu’elles ne le peuvent pas ?' », explique Perakslis. « Et de nombreuses entreprises que nous avons examinées ne sont pas des entités couvertes par la HIPAA, de sorte que ces données liées à la santé existent dans un espace presque totalement non réglementé. La recherche a constamment montré que le flux de ces informations à des fins publicitaires peut nuire de manière disproportionnée aux populations vulnérables. »
La grande majorité des utilisateurs, bien sûr, consultent les conditions d’utilisation et les politiques de confidentialité sans les lire. Mais les chercheurs disent que c’est une raison de plus pour faire la lumière sur la façon dont le ciblage des publicités numériques, la génération de prospects et le suivi intersites peuvent porter atteinte à la vie privée des utilisateurs.
« De mon point de vue, on s’attend à ce que des découvertes comme celle-ci continuent d’apparaître pour la catégorie que j’appelle des données » de santé « qui ne relèvent pas proprement des protections limitées de la vie privée qui existent actuellement dans les lois américaines », déclare Andrea Matwyshyn, professeur. et chercheur à Penn State Law et ancien conseiller de la FTC. « L’évolution des conditions d’utilisation lorsqu’elle est combinée aux politiques de confidentialité a créé une image trouble pour les utilisateurs, et lorsque vous essayez d’analyser les flux de données, vous vous retrouvez dans cette spirale souvent sans fin. »