Les places de marché américaines de l’assurance santé ont partagé des données sur la citoyenneté et l’origine ethnique avec des géants de l’ad tech

 (techcrunch.com)
1 points par GN⁺ 2 시간 전 | 1 commentaires | Partager sur WhatsApp
  • Selon une nouvelle enquête de Bloomberg, presque toutes les 20 places de marché de l’assurance santé gérées par les États américains ont partagé les informations de demande des résidents avec de grands groupes de la publicité et de la tech comme Google, LinkedIn, Meta et Snap
  • Le déploiement de traceurs de type pixel sur des sites sensibles de demande d’assurance santé a accru les risques pour la vie privée en collectant des informations sur les visiteurs
  • La place de marché de l’assurance santé de New York a partagé avec plusieurs entreprises technologiques des informations de demande, notamment le fait de savoir si le demandeur avait fourni des informations concernant un membre de sa famille incarcéré
  • La place de marché de l’assurance santé de Washington, D.C. demandait le sexe et l’origine ethnique des demandeurs, et le traceur pixel de TikTok ne masquait qu’une partie des informations ethniques ; l’adresse e-mail, le numéro de téléphone et l’identifiant national étaient également partagés avec TikTok
  • Washington, D.C. a cessé de déployer le traceur TikTok, et la Virginie a supprimé le traceur Meta de son site après qu’il a été confirmé que les codes ZIP des résidents étaient partagés avec Meta

Le problème des pixels de suivi sur les places de marché publiques de l’assurance santé

  • Selon une nouvelle enquête de Bloomberg, presque toutes les 20 places de marché de l’assurance santé gérées par les États américains ont partagé les informations de demande des résidents avec de grands groupes de la publicité et de la tech comme Google, LinkedIn, Meta et Snap
  • Le problème central concerne les traceurs de type pixel qui collectent des informations sur les visiteurs des sites web
    • Ces traceurs sont généralement utilisés pour l’analyse web et l’identification de bugs, mais s’ils sont déployés de manière inadaptée sur des sites contenant des données médicales sensibles, ils peuvent entraîner une collecte de données personnelles
    • C’est un outil couramment utilisé dans la publicité numérique, mais dans un contexte sensible comme les demandes d’assurance santé, le risque pour la vie privée augmente fortement
  • La place de marché de l’assurance santé de New York a partagé avec plusieurs entreprises technologiques des informations de demande, notamment le fait de savoir si le demandeur avait fourni des informations concernant un membre de sa famille incarcéré
  • La place de marché de l’assurance santé de Washington, D.C. demandait aussi le sexe et l’origine ethnique des demandeurs, et le traceur pixel de TikTok tentait de masquer certaines informations
    • Selon Bloomberg, certaines informations ethniques étaient masquées, tandis que d’autres ne l’étaient pas
    • Un porte-parole de la place de marché de Washington, D.C. a indiqué que l’adresse e-mail, le numéro de téléphone et l’identifiant national des résidents avaient aussi été partagés avec TikTok
  • Washington, D.C. a cessé de déployer le traceur TikTok, et la Virginie a supprimé le traceur Meta de son site après que Bloomberg a confirmé que les codes ZIP des résidents étaient partagés avec Meta

Un risque récurrent de partage des données de santé

  • Ce problème s’était déjà produit auparavant chez des startups de télémédecine et de grandes entreprises du secteur de la santé
  • Plusieurs entreprises et grands groupes du secteur de la santé ont dû informer des millions de personnes que leurs informations de santé avaient été collectées involontairement puis partagées avec de grands groupes technologiques
  • Les revenus de ces géants technologiques proviennent de l’utilisation des données des consommateurs à des fins publicitaires
  • L’enquête de Bloomberg montre que lorsque des traceurs pixel sont déployés sur des sites gouvernementaux, ils peuvent affecter une population bien plus large
  • Bloomberg indique que plus de 7 millions de personnes ont acheté cette année une assurance santé via les places de marché d’assurance santé des États

À lire aussi

1 commentaires

 
GN⁺ 2 시간 전
Commentaires Hacker News

  • Pendant quelques mois entre deux emplois, j’ai utilisé le site de la place de marché de l’assurance santé du Colorado, et toute l’expérience m’a donné l’impression d’une intrusion grave
    J’ai saisi beaucoup d’informations pour obtenir un devis, et je m’attendais à ce que ces données puissent être partagées pour calculer ce devis, mais je n’ai au final jamais reçu de devis
    On aurait dit que les informations n’étaient pas seulement passées d’un système à l’autre, mais directement transmises à de nombreuses personnes, et au lieu d’obtenir un résultat utile sur le site, on m’a simplement dit qu’un conseiller me contacterait, puis j’ai reçu pendant des semaines des appels et des SMS de centaines de conseillers, de jour comme de nuit
    Quand j’ai demandé à l’un d’eux comment faire arrêter ça, il m’a répondu que c’était impossible à cause du shutdown du gouvernement

    • Il est possible que vous ayez été piégé par un site privé de collecte de leads qui se fait passer pour le site officiel du Colorado en achetant le premier résultat sponsorisé sur Google
      https://i.imgur.com/d2fZlTc.png
    • C’est exactement ça, la réalité d’un gouvernement fédéral américain qui n’essaie même pas de faire quelque chose comme le RGPD

  • En pratique, ce « partage » consistait à utiliser le pixel Meta et l’équivalent côté TikTok, probablement parce que la place de marché de l’assurance santé voulait pousser les gens à souscrire via du reciblage publicitaire ou du marketing basé sur des audiences similaires
    Vu de près, cela peut presque sembler raisonnable, mais dès qu’on utilise un pixel, les données sont automatiquement « partagées » avec Meta, ByteDance et d’autres, qui peuvent ensuite les exploiter pour toutes sortes d’objectifs malveillants selon leur bon vouloir

    • Même si une place de marché d’assurance santé d’État le fait pour augmenter les souscriptions à une assurance subventionnée, on peut considérer que toute forme de ciblage ou de marketing est en soi inappropriée
      Je me trompe peut-être, mais il me semble difficile de soutenir que la mission prévue par l’ACA inclut de se faire du ciblage ou du marketing à soi-même
      Le simple fait qu’il existe une hypothèse implicite selon laquelle cela irait de soi fait déjà partie du problème
    • C’est vraiment malveillant
      Une fois l’identité connue, il devient possible de la recouper avec les bases de données du secteur de l’assurance et d’en déduire divers états de santé et d’autres informations
      Savoir si quelqu’un suit correctement ses soins prénataux permet à un marketeur de prédire la date d’accouchement d’une femme à une semaine près avec une assez forte confiance

  • Il devrait être illégal d’envoyer ces données, comme d’en recevoir
    Il faut brûler les deux extrémités du pont

    • Toute donnée collectée devrait nécessiter un consentement explicite, à la fois pour la collecte initiale et pour le partage avec des tiers
      Il faut expliquer pourquoi elle est collectée et quelles fonctionnalités deviennent impossibles sans elle, et empêcher une fonctionnalité au motif qu’on n’a pas consenti à un champ de données non strictement nécessaire à son fonctionnement devrait constituer une infraction à la loi
    • Le droit de mentir sur sa race, dans n’importe quel contexte, devrait être explicitement protégé
      Il est bien plus facile de saboter un jeu de données que de s’y cacher
    • Il s’agit d’un pixel de suivi, donc le système est conçu pour tromper l’utilisateur afin qu’il envoie lui-même les données
    • Je ne serais pas surpris que les deux soient déjà illégaux
      C’est juste qu’aujourd’hui, la corrélation entre « X est illégal » et « les grandes organisations ne font pas X » n’est plus ce qu’elle était
    • Il est fort probable que des entreprises technologiques et des sous-traitants offensifs utilisent ces données pour renforcer les activités du département de la Guerre
      Je me demande bien pourquoi ils voudraient des données sur la race et la citoyenneté, ah… d’accord…

  • Les entreprises technologiques les plus riches du monde et les riches en général se sont enrichis en violant la vie privée des gens et en vendant de la publicité intrusive

    • Plutôt que de « vendre de la publicité intrusive », il s’agit davantage de manipuler les algorithmes de contenu pour favoriser leur point de vue et cibler chaque individu avec un effet maximal
    • Si l’on regarde les 15 personnes les plus riches du monde, 11 d’entre elles ne sont pas devenues riches de cette manière
    • Vous oubliez par exemple le capitalisme de connivence brutal de la Russie depuis 1991, ainsi que les personnes réellement riches qui investissent depuis longtemps dans des entreprises gagnantes
      Comme Charlie Munger et Warren Buffett, qui n’ont pas fait fortune en « timant » le marché boursier mais via des investissements de long terme
    • Ils se sont enrichis parce que les gens ont été assez naïfs pour croire que les services gratuits n’avaient pas de coût
    • Mais alors, qui clique sur ces publicités ?

  • C’est encore pire dans les services publics, où la confiance est déjà fragile
    Demander une assurance santé ne devrait pas impliquer de devoir s’inquiéter d’être inscrit dans un graphe de suivi

    • Est-ce vraiment si difficile à comprendre qu’on puisse vouloir limiter l’accès à l’assurance santé aux résidents en situation régulière ?
      Ou que le gouvernement puisse vouloir suivre les métadonnées indiquant si le service fonctionne comme prévu, quelles que soient les mesures adoptées ?

  • Sans bien connaître le système juridique américain, j’ai du mal à comprendre
    S’il s’agit d’un suivi Meta/Facebook via pixel, pourquoi ne peut-on pas les poursuivre ?
    Ou, si ce suivi est légal dans ce cas précis, pourquoi l’est-il exactement ?

  • Enquête Bloomberg : https://www.bloomberg.com/features/2026-healthcare-advertisi...

  • J’aimerais qu’une personne vivant aux États-Unis m’explique. Que signifie exactement la race dans ce contexte, et comment est-elle déterminée ?

    • C’est auto-déclaré, selon les catégories raciales reconnues par le recensement américain
      Blanc, Noir, Asiatique, Amérindien/Natif d’Alaska, Hawaïen autochtone ou insulaire du Pacifique, autre, ou plusieurs catégories
      L’identité hispanique/latino fait l’objet d’une case séparée, pour des raisons difficiles à expliquer sans revenir sur des décennies de décisions bureaucratiques
    • À tous les niveaux du système éducatif américain, on enseigne au moins pour l’instant que la race est une construction sociale
      Les notions de génétique des populations ne sont abordées que bien plus tard, dans les cours de sciences naturelles
    • C’est une confusion fréquente quand des Européens parlent des questions raciales aux États-Unis
      Dans le contexte américain, la race renvoie aux origines, au lieu de naissance, à l’héritage, et sur les formulaires administratifs on lit des choses comme « Quelle est votre race ? Blanc, Noir, Hispanique, etc. »
      C’est fondamentalement différent, dès l’intention, de l’usage européen du mot au sens d’espèce, comme dans le français « la race humaine »
      Cette nuance est importante dans les discussions. Quand j’ai parlé des différences raciales avec des Suisses, ils ont cru que je parlais de propagande nazie
      Nous appartenons tous à l’espèce humaine, et il existe plusieurs races au sein de l’espèce humaine, toutes égales
    • Il existe selon les groupes raciaux divers facteurs de risque et certaines valeurs de référence d’analyse différentes
      Par exemple, dans mes résultats d’examens, au moins deux éléments ont des seuils distincts pour les patients « African-American » et les patients « non-AA »
      https://en.wikipedia.org/wiki/Sickle_cell_disease#United_Sta...
    • Je pense que c’est simplement déclaré par la personne elle-même

  • Il est toujours surprenant de voir à quel point de nombreux développeurs web ne comprennent pas que, dès qu’ils incluent du JavaScript tiers sur leur site, ce tiers obtient un accès total à tout ce qui s’y trouve, y compris les données clients soumises

  • « si quelqu’un a fourni des informations détaillées sur la présence ou non d’un membre de sa famille en détention »
    Franchement, ça ne me semble pas être un signal si fort, plutôt un détail de niveau métadonnées