Les marchés publics d’assurance santé auraient partagé des données sensibles avec des sociétés d’ad tech

Les sites publics d’inscription à l’assurance santé sont à nouveau examinés de près à cause des technologies de suivi

Presque l’ensemble des 20 marchés d’assurance santé gérés par les États aux États-Unis ont partagé des informations de demande des résidents avec des sociétés de publicité et de technologie, selon une enquête de Bloomberg résumée par TechCrunch. Les entreprises citées comprennent Google, LinkedIn, Meta et Snap, et l’exposition des données rapportée a atteint un niveau de sensibilité particulièrement élevé.

Le problème central était l’utilisation de traqueurs basés sur des pixels, de petits fragments de code souvent déployés pour l’analyse, le débogage et la mesure publicitaire. Ces outils sont courants sur le web. Mais lorsqu’ils sont placés sur des pages qui traitent des informations sensibles, une mauvaise configuration peut en faire des canaux de fuite pour des données que les utilisateurs supposeraient à juste titre privées.

Ce que l’enquête a révélé

D’après le reportage cité par TechCrunch, l’échange d’assurance santé de New York a partagé avec plusieurs entreprises technologiques des informations sur la demande d’une personne, y compris le fait qu’elle ait fourni ou non des détails sur des membres de sa famille incarcérés. L’échange de Washington, D.C. demandait aux utilisateurs des informations sur le sexe et la race, et Bloomberg a constaté que le pixel de TikTok tentait de masquer certaines valeurs de race tout en laissant les autres exposées. Un porte-parole de l’échange de D.C. a indiqué que les adresses e-mail, les numéros de téléphone et les identifiants de pays des résidents avaient également été partagés avec TikTok.

Après que Bloomberg a soulevé des questions, Washington, D.C. a suspendu le déploiement de son traqueur TikTok, et la Virginie a retiré le traqueur Meta de son marché après qu’il a été découvert qu’il partageait des codes postaux. Ces réactions comptent, car elles montrent qu’au moins certains exploitants ont estimé que le comportement signalé était suffisamment grave pour l’interrompre ou l’annuler.

L’ampleur est aussi difficile à balayer d’un revers de main. TechCrunch note que plus de sept millions d’Américains ont acheté leur assurance santé pour l’année en cours via un marché public d’assurance santé. Ainsi, même un problème de configuration touchant une partie de ces utilisateurs n’est pas anodin en pratique.

Un schéma d’échec familier dans les données de santé

L’article souligne qu’il ne s’agit pas d’une nouvelle catégorie de confidentialité. Les hôpitaux, les entreprises de télésanté et d’autres sociétés du secteur de la santé ont déjà fait face à des réactions négatives du public et, dans certains cas, à des obligations de notification après avoir partagé par inadvertance des informations liées à la santé avec des plateformes publicitaires. Ce qui rend le cas des marchés particulièrement frappant, c’est que les sites concernés sont des systèmes d’inscription gérés par l’État et liés à des services publics essentiels.

Cela change les enjeux. Les consommateurs peuvent accepter que les sites commerciaux suivent agressivement leur comportement, même s’ils ne l’aiment pas. Ils ne s’attendent pas à ce que les mêmes normes s’appliquent lorsqu’ils demandent une couverture santé via un marché public. Les hypothèses de confiance sont différentes, tout comme la sensibilité des données.

Il y a aussi une leçon de gouvernance ici. Le problème n’est pas l’existence abstraite d’un pixel traqueur. C’est l’inadéquation entre des outils génériques de croissance web et des flux de travail à haute sensibilité. Des outils conçus pour optimiser les conversions peuvent mal se comporter lorsqu’ils sont insérés dans des systèmes conçus pour les soins de santé, les prestations ou le contrôle du statut légal.

Pourquoi les détails importent

La mention de la race, du sexe, des informations familiales liées à l’incarcération, des adresses e-mail, des numéros de téléphone et des identifiants de pays est significative, car elle montre à quelle vitesse une implémentation “analytique” peut dériver vers un terrain réglementé ou éthiquement chargé. Même si une plateforme n’a pas l’intention d’utiliser ces champs pour le ciblage publicitaire, le simple transfert peut déjà entraîner des conséquences juridiques, politiques et de confiance.

Cela complique aussi le discours public que les entreprises technologiques tiennent souvent sur leurs produits. Les traqueurs par pixel sont présentés comme des outils simples et utiles pour les exploitants de sites. Mais la charge opérationnelle nécessaire pour les utiliser en toute sécurité est bien plus élevée sur des sites sensibles que ne le suggère ce cadrage. Si le propriétaire du site ne comprend pas parfaitement chaque champ de données que la page peut exposer, une instrumentation dite “simple” devient un risque.

Et ensuite

La conséquence immédiate sera probablement davantage d’audits des marchés publics et d’autres sites de services publics. La conséquence plus large pourrait être une ligne plus dure sur la question de savoir si les traqueurs publicitaires ont leur place à proximité de systèmes qui traitent des données de santé et d’éligibilité.

Le reportage ne laisse pas entendre que tous les marchés se soient comportés de la même manière, ni ne tranche toutes les questions juridiques. Mais il montre clairement une faiblesse structurelle : la pile de suivi standard du web moderne peut entrer en collision de manière problématique avec des infrastructures publiques sensibles.

Pour les utilisateurs, la leçon est inconfortable. Remplir une demande de couverture santé peut sembler être un acte administratif privé. Sur trop de sites, cela semble aussi être devenu un événement de partage de données.

Bloomberg, cité par TechCrunch, a constaté un partage généralisé des données de demande des marchés avec des sociétés d’ad tech.
Les données rapportées comprenaient des champs sensibles tels que la race, le sexe et les coordonnées.
Washington, D.C. a suspendu le déploiement de son traqueur TikTok, et la Virginie a retiré un traqueur Meta après ces révélations.
Plus de sept millions d’Américains ont acheté leur couverture cette année via des marchés publics, a noté TechCrunch.

Cet article s’appuie sur le reportage de TechCrunch. Lire l’article original.

Les marchés publics d’assurance santé ont partagé des données sensibles avec des sociétés d’ad tech, selon un rapport

Les sites publics d’inscription à l’assurance santé sont à nouveau examinés de près à cause des technologies de suivi

Ce que l’enquête a révélé

Un schéma d’échec familier dans les données de santé

Pourquoi les détails importent

Et ensuite

Related Articles

Keep Reading

Comments (0)

La poussée foncière rapportée de Coatue montre à quel point le boom de l’IA s’étend profondément dans l’énergie, l’immobilier et les infrastructures

L’acquisition d’une startup robotique par Meta montre comment la course à l’IA quitte les écrans pour entrer dans les corps

Le projet viral de sauvetage de Spirit transforme la frustration en fantasme de compagnie aérienne financée par la foule

Musely lève 360 millions de dollars en capital non dilutif pour soutenir la croissance de ses clients