Aperçu
Le premier rapport sur les risques mondiaux de J.S. Held examine les risques et les opportunités potentiels pour les entreprises en 2024.
En savoir plusLes préoccupations liées à la protection de la vie privée sont devenues de plus en plus importantes ces dernières années, notamment en raison de l'utilisation généralisée d'outils de suivi par des tiers, tels que les pixels espions, les cookies et l'attribution mobile en lien avec des applications d'appareils mobiles liées à un site Web. Ces outils de technologie publicitaire (AdTech) permettent aux propriétaires de sites Web de suivre le comportement des utilisateurs et de collecter des données personnelles, telles que les adresses IP, le type de navigateur et les identifiants d'appareils, en partie pour aider les entreprises à déterminer l'engagement des utilisateurs sur leurs sites Web et les possibilités de ciblage correspondantes. AdTech permet aux annonceurs d'atteindre le public des sites Web et de déterminer l'efficacité de leurs efforts de publicité numérique. Ces traceurs augmentent également le risque potentiel de transfert d'informations personnelles à des tiers s'ils ne sont pas correctement gérés ou si le respect de la réglementation n'est pas dûment pris en compte.
Ceci est particulièrement important dans le secteur des soins de santé, où les données des patients sont très sensibles et doivent être protégées. L'utilisation d'outils de suivi par des tiers, tels que Meta Pixel, les cookies et l'attribution mobile liée aux applications mobiles, a suscité chez les clients et utilisateurs des inquiétudes relatives à la confidentialité des données de santé. Ces outils peuvent collecter des informations personnelles identifiables (PII) et d'autres données sensibles, telles que des informations relatives aux soins de santé qui relèvent du Health Insurance Portability and Accountability Act (HIPAA), loi sur la protection des données médicales des patients aux États-Unis, et des données de santé protégées (PHI).
L'utilisation de plus en plus répandue de cette technologie a entraîné une augmentation des recours collectifs contre les entreprises qui ne protègent pas correctement les données des utilisateurs ou qui n'obtiennent pas le consentement adéquat pour la collecte de données. Dans de nombreux cas, il s'agissait de plaintes relatives à la protection de la vie privée fondées sur l'utilisation d'outils tiers par des prestataires de soins de santé tels que les hôpitaux. Certaines de ces affaires reposent sur des allégations de violation des lois fédérales et nationales en matière d'écoutes téléphoniques.
Cet article se concentre sur l'utilisation croissante de ces technologies de suivi, telles que les pixels, les cookies et autres, pour collecter des informations sur les utilisateurs et sur les risques pour la vie privée des consommateurs, en particulier dans le secteur de la santé. Plus important encore, il examine également les menaces qui pèsent sur la réputation et les finances des entreprises qui partagent involontairement ces données personnelles avec des tiers, ainsi que les mesures que les dirigeants peuvent prendre pour protéger leur organisation lorsqu'ils utilisent ces technologies.
Prenons l'exemple d'une start-up de télésanté axée sur la santé mentale qui a partagé par inadvertance des données sur des patients. L'entreprise a déclaré « qu'elle avait divulgué certaines informations susceptibles d'être réglementées en tant que données de santé protégées ("PHI") en vertu de la loi HIPAA à certaines plateformes tierces et à certains sous-traitants sans avoir obtenu les garanties requises par la loi HIPAA. »
Plusieurs autres entreprises de télésanté ont fait l'objet d'un examen minutieux pour avoir partagé des informations sur des patients sans leur consentement. Des recours collectifs ont été déposés par des plaignants privés alléguant que les plateformes utilisées pour collecter les données, telles que Meta, ont partagé les informations médicales des consommateurs avec sa société mère Meta Platforms Inc. par l'intermédiaire de son outil de pixels espions.
Dans le cadre d'une action collective putative intentée devant un tribunal fédéral de l'Illinois, une plaignante allègue qu'un hôpital de Chicago a intégré de manière trompeuse un code source tiers sur son site Web et son portail MyChart sans son consentement. Elle a également affirmé que ce code source, qui ne peut être vu par les utilisateurs du site Web et du portail, a entraîné la transmission des données personnelles identifiables de ses patients à Facebook, Google et d'autres à des fins publicitaires.
La Federal Trade Commission a en effet récemment pris des mesures d'exécution contre deux plateformes de santé numérique pour avoir prétendument partagé les données de santé des utilisateurs avec des tiers à des fins publicitaires. Il s'agissait dans les deux cas d'une utilisation de pixels espions de tiers, permettant à ces plateformes de collecter et d'analyser des informations sur l'activité des utilisateurs ou des patients. Les entreprises ont accepté que la Federal Trade Commission interdise le partage d'informations sur la santé à des fins publicitaires et, dans l'un des cas, la divulgation d'autres informations personnelles à des fins de reciblage.
En outre, le département de la Santé et des Services sociaux des États-Unis (HHS) a publié à la fin de l'année dernière un bulletin qui précise que les entités régies par la loi HIPAA ne sont pas autorisées à utiliser les technologies de suivi d'une manière qui entraînerait la divulgation inadmissible de données de santé protégées (PHI) aux fournisseurs de technologies de suivi à des fins de marketing, sans le consentement conforme à la loi HIPAA des personnes concernées. Le HHS a indiqué que de telles divulgations « pouvaient entraîner un vol d'identité, une perte financière, une discrimination, une stigmatisation, une angoisse mentale ou d'autres conséquences négatives graves pour la réputation, la santé ou la sécurité physique de l'individu ou d'autres personnes identifiées dans les PHI de l'individu. »
L'opt-out est un moyen pour les utilisateurs de protéger leur vie privée et la sécurité de leurs données. En refusant le suivi (lors de la visite d'un site Web à partir d'un ordinateur ou d'un appareil mobile), les utilisateurs peuvent minimiser la possibilité que leurs données soient collectées et utilisées à des fins de publicité ciblée ou à d'autres fins.
Cependant, les options d'acceptation et de refus peuvent parfois manquer de clarté, en particulier pour les applications mobiles. Certaines applications mobiles peuvent surveiller ou suivre les informations subrepticement ou ne sont pas aussi transparentes en offrant aux utilisateurs des options d'acceptation et de refus dans le cadre de leurs mécanismes d'attribution mobile. Cela peut se produire lors de l'installation des applications ou à tout moment par la suite.
En termes d'attribution mobile, les kits de développement logiciel sont utilisés pour suivre le comportement des utilisateurs dans les applications mobiles. Ces kits de développement logiciel peuvent collecter toute une série de données, notamment le type d'appareil, l'utilisation de l'application et la localisation. Les utilisateurs peuvent refuser la collecte de données en désactivant le suivi dans les paramètres de leur appareil ou en désinstallant l'application afin de réduire le risque de transfert de données sensibles. Toutefois, certaines entreprises ont été critiquées pour avoir rendu difficile le refus des utilisateurs ou pour ne pas les avoir informés des pratiques en matière de collecte de données.
Dans le même ordre d'idées, il existe un certain nombre d'options de configuration que les administrateurs de sites Web marketing d'une organisation peuvent mettre en œuvre de manière proactive pour atténuer les risques liés à la protection de la vie privée. Pour mieux prévenir ces risques qui peuvent déboucher sur des recours collectifs, les administrateurs devraient envisager de faire appel à des consultants externes en matière de protection de la vie privée et de technologie, qui peuvent utiliser des approches avancées. Il s'agit notamment de désactiver l'option « Correspondance automatique avancée » dans le tableau de bord Meta Pixel ou de s'assurer que l'anonymisation des adresses IP est activée (lors de l'utilisation de Google Tag Manager), parmi d'autres options.
Des consultants externes peuvent aider à améliorer les sites Web des entreprises de diverses manières afin de protéger la vie privée des clients et les risques associés à l'utilisation d'AdTech. Ils peuvent aider à identifier les meilleures options de configuration pour les entreprises et à développer des stratégies de gestion des risques efficaces qui répondent aux normes de conformité en matière de protection de la vie privée imposées par le gouvernement.
Lorsqu'un litige survient et que des cabinets d'avocats sont engagés, il est possible de faire appel à des experts-conseils externes, notamment en ce qui concerne l'identification, la collecte, l'analyse et l'établissement de rapports d'experts défendables sur le contenu lié à AdTech (à la fois en contact direct avec les utilisateurs/clients, mais aussi le code « back-end », les artefacts connexes, les journaux et les bases de données). Il peut s'agir de la préservation et de la saisie de sources de données telles que :
Une fois collectées, les données sont généralement analysées et discutées avec les conseillers juridiques et les principales parties prenantes dans le cadre de la stratégie et des discussions connexes. Les conclusions peuvent également être fournies par écrit, de même que les rapports d'experts et les témoignages, le cas échéant.
Les experts-conseils peuvent également fournir des conseils à un stade précoce pour soutenir la stratégie de litige et les préoccupations liées à la protection de la vie privée dans le cadre de la communication préalable et de tout rapport et témoignage d'expert potentiel. En outre, avant ou après la conclusion du litige, ou dans le cadre des étapes de remédiation, les experts peuvent travailler avec les principales parties prenantes de l'organisation et les avocats pour s'assurer que les mesures de conformité appropriées en matière de protection de la vie privée sont mises en œuvre. Il s'agit notamment, mais pas exclusivement, de la configuration des bannières de cookies, des paramètres de configuration ou d'exclusion dans les tableaux de bord des outils de suivi, ou d'autres mesures correctives connexes. Ces actions varieront en fonction du contenu du site web de l'organisation, de la mise en œuvre de la technologie de suivi et des programmes de conformité correspondants.
Les entreprises doivent être attentives aux questions de protection de la vie privée lorsqu'elles utilisent des technologies telles que des outils de suivi par des tiers ou qu'elles tirent parti de l'attribution mobile en lien avec des applications liées à un site Web. Les utilisateurs et visiteurs de sites Web doivent également être conscients des risques associés à ces outils. Le respect de la loi HIPAA et d'autres lois sur la protection de la vie privée est essentiel pour protéger les informations personnelles sensibles, et il est indispensable d'obtenir le consentement adéquat pour la collecte des données.
Lorsqu'une action en justice est intentée pour divulgation abusive d'informations personnelles, il est nécessaire de faire appel à des consultants externes capables d'aider les recours collectifs liés à la protection de la vie privée en fournissant des conseils valables et défendables. Dans de telles circonstances, il est impératif de recourir à des services d'experts en matière de protection de la vie privée et d'efforts de recherche de bout en bout.
Pour éviter les litiges, les contrôles réglementaires et les amendes, ainsi que pour réduire le risque global, les entreprises doivent prendre l'initiative en ce qui concerne la technologie de suivi sur leurs sites web en mettant en place les programmes de conformité et les mesures de protection adéquats.
Nous tenons à remercier Antonio Rega et Joseph Hoang, dont les connaissances et l'expertise ont grandement contribué à cette recherche.
Antonio Rega est directeur général responsable du groupe d'enquêtes numériques au sein du cabinet d'enquêtes internationales de J.S. Held. Antonio a plus de 20 ans d'expérience dans le conseil, la consultation et l'expertise dans les domaines de l'informatique judiciaire, de la confidentialité des données et de la gouvernance des informations, des actifs numériques/technologie blockchain et de la découverte pour le compte d'entreprises internationales et de cabinets d'avocats. Basé à New York, Antonio se concentre sur la conduite d'enquêtes et d'affaires complexes impliquant une découverte et une analyse proactive et réactive, menant souvent des examens médico-légaux approfondis des informations stockées électroniquement (ESI) à travers des référentiels (basés sur le cloud, localisés ou mobiles). Il assiste régulièrement ses clients en leur fournissant des conseils et des stratégies à tous les stades des enquêtes, de la conformité réglementaire ou des litiges, tels que les demandes réglementaires liées à la protection de la vie privée, les réponses aux citations à comparaître du gouvernement et les besoins connexes en matière de gouvernance de l'information, parmi d'autres domaines de spécialisation.
Avant de rejoindre J.S. Held, Antonio a dirigé des enquêtes à grande échelle et des questions de conformité impliquant la criminalistique numérique, la confidentialité des données et l'eDiscovery au sein de plusieurs cabinets de conseil réputés. Il a été conférencier invité à la faculté de droit de l'université Fordham sur le thème de la confidentialité des données et des technologies connexes. Il apporte également sa contribution en tant qu'éditeur de contenu pour l'American Bar Association (ABA), et participe en tant que membre du groupe de travail sur les secrets commerciaux de la conférence de Sedona 12.
Antonio est examinateur agréé en matière de fraude (CFE) ; examinateur agréé EnCase (EnCE) ; examinateur agréé en informatique (CCE) ; examinateur agréé en traçage de crypto-monnaie (CTCE), CipherTrace ; auditeur agréé en crypto-monnaie (CCA) du Blockchain Council ; enquêteur agréé TRM Labs (TRM-CI) ; enquêteur privé agréé (PI) pour l'État du Texas, et gestionnaire agréé de la confidentialité de l'information (CIPM) - en attente.
Vous pouvez contacter Antonio à l'adresse [e-mail protégé] ou au +1 551 345 8502.
Alors que nos vies et notre travail sont de plus en plus numérisés, il y a un chevauchement intrinsèque entre les programmes de confidentialité des données et de cybersécurité. Dans cet article, nous nous penchons sur la relation entre la confidentialité des données et la cyber…
L'écosystème de la sécurité moderne est multiple et en constante évolution, un espace où le risque en cybersécurité est une priorité pour les dirigeants à tous les niveaux, alors que les menaces pour la sécurité et la confidentialité des informations et des données suivent le rythme…