La Penn-CMU Digital Health Privacy Initiative tente de répondre à cette question en cartographiant le suivi par des tiers dans l’écosystème de la santé en ligne. Leur travail montre les implications possibles pour le ciblage publicitaire, les cotes de crédit, la couverture d’assurance, etc.
Un jour il y a quelques années, Penn médecin urgentiste Ari Friedman a décidé de voir ce qui se passerait s’il refusait les cookies tiers sur le site Web d’une revue médicale. « J’en avais assez lu sur la confidentialité et les fuites et sur ce qui se passait avec les données pour que je veuille les désactiver », déclare Friedman.
Il n’a pas pu accéder à l’article de journal qu’il cherchait, mais il n’a même pas pu accéder à la table des matières du numéro. « J’ai été choqué », dit-il. « J’ai encore beaucoup d’idéalisme autour du milieu universitaire, et cela semblait contraire à la mission de ces revues, qui est de partager les connaissances. »
Naviguer sur Internet sur un smartphone. Crédit image : Kristin Hardwick via StocksnapCC0 Domaine public
À ce stade, Friedman ne pouvait pas faire grand-chose de plus que d’accepter les cookies lorsqu’il avait besoin de voir quelque chose qui en avait besoin. Mais l’expérience lui est restée au point qu’il a intégré le sujet dans son programme de recherche, qui est autrement centré sur la gérontologie et la médecine d’urgence gériatrique.
La Penn-CMU Digital Health Privacy Initiative s’est développée, que Friedman dirige maintenant avec Penn Medicine’s Matthieu McCoy et Lujo Bauer, informaticien à l’université Carnegie Mellon. Financé par le Public Interest Technology University Network (PIT-UN), facilité à Penn par le Programme SNF Paideial’initiative vise à déterminer précisément comment la collecte de routine de données non médicales peut révéler par inadvertance le profil de santé d’une personne et quelles implications cela a pour un éventail de domaines, de la couverture d’assurance aux cotes de crédit.
Au cours de sa première année, le groupe s’est efforcé de cartographier de manière exhaustive le suivi par des tiers dans l’écosystème de la santé en ligne, y compris sur les sites Web des revues médicales et des hôpitaux. Selon McCoy et Friedman, la prochaine étape consiste à évaluer comment ce suivi pourrait conduire à des inférences sur une personne, des publicités ciblées, etc.
« Dans de nombreux coins différents du Web, vous ne pouvez pas accéder aux informations sur la santé sans être suivi », explique McCoy, professeur adjoint d’éthique médicale et de politique de santé. « La plupart des gens connaissent probablement les cookies, mais ils ne pensent probablement pas à leurs implications, à ce que signifie qu’une entité connaisse toutes les pages que vous consultez. Nous voulons aider les gens à comprendre pourquoi c’est important.
Navigation en ligne pendant une pandémie
Lorsque Friedman a rejoint la faculté de Penn’s École de médecine Perelman en 2019, il a commencé à réfléchir à la trajectoire de son programme de recherche. Au cours d’une première conversation avec l’éthicien médical de Penn Atheendar Venkataramani, Friedman a décrit le mur qu’il avait frappé en désactivant les cookies pour un site Web de revue médicale. Venkataramani lui a suggéré de parler à McCoy. Bientôt, les deux ont commencé à collaborer, en s’associant à Timothy Libert, un ancien de Penn alors à la CMU, qui est depuis parti pour un emploi dans le secteur privé.
Lorsque les utilisateurs visitent WebMD.com, plus de 50 autres sites Web, répertoriés à droite ici, reçoivent un ping. Crédit image : Ari Friedman et Matthew McCoy
Puis la pandémie a frappé. « Il est presque difficile de se remettre dans cet espace de tête, mais une chose dont les gens se sont vraiment inquiétés au début était les implications sur la vie privée de ces applications de recherche de contacts et de détection de proximité », déclare McCoy. A l’inverse, les gens n’étaient pas préoccupé par les dizaines d’entités interrogées chaque fois que quelqu’un visitait un site Web lié à COVID-19.
Les chercheurs ont décidé d’analyser environ 500 des sites Web liés au COVID les plus fréquentés, les endroits où les gens se tournaient pour en savoir plus sur les symptômes du nouveau virus, par exemple, ou pour trouver un lieu de test. « Nous voulions savoir, si vous visitiez l’un de ces sites, combien de parties seraient en mesure de dire que vous l’avez fait? » dit McCoy. « Même sur les sites universitaires et gouvernementaux où les gens ne s’attendent pas à être suivis, le suivi par des tiers était répandu. »
Plus précisément, les chercheurs ont découvert que 99 % de ces pages Web incluaient une demande de données de tiers et 89 % avaient un cookie tiers, les résultats qu’ils partageaient dans le Journal de l’Association médicale américaine en octobre 2020.
À peu près au même moment, Friedman et McCoy ont entendu parler de PIT-UN, un partenariat de collèges et d’universités que Penn a rejoint en 2020. Pendant plusieurs années, PIT-UN a donné des millions de dollars en financement de démarrage pour des projets visant à «promouvoir l’intérêt public pour technologie au niveau universitaire. Grâce au défi PIT-UN 2021 et soutenus par le soutien du programme SNF Paideia, les chercheurs ont officiellement obtenu un financement pour lancer la Penn-CMU Digital Health Privacy Initiative.
Implications et solutions à long terme
Depuis leur article initial sur les sites Web COVID-19, ils ont publié les résultats de sites Web de revues médicales, dont un en Réseau JAMA ouvert sur le refus d’accès aux utilisateurs qui bloquent les cookies (ouvrage inspiré de l’expérience originale qui a conduit à l’initiative), et un autre en Forum santé JAMA sur la prévalence du suivi par des tiers sur ces sites. À la mi-avril, ils ont publié leurs derniers résultats sur les risques de confidentialité en ligne pour la santé des personnes âgées dans la revue Gerontology and Geriatric Medicine.
« En ce moment, nous en sommes vraiment au premier trimestre de la deuxième année, passant aux étapes suivantes pour comprendre comment les entreprises effectuent ce suivi, puis l’utilisent pour faire des déductions sur votre santé et vous cibler différentes publicités », déclare McCoy. « Par exemple, une personne dont l’historique de navigation suggère un diagnostic de diabète reçoit-elle des publicités différentes de celle d’une personne qui ne le fait pas ? »
Ils ont reçu des fonds du nouveau Institut de recherche sur les communications médicales de Penn et sont en train de postuler pour un autre cycle de financement PIT-UN. Cet été, ils s’attendent à ce que deux étudiants de premier cycle de Penn travaillent avec eux sur plusieurs des avenues inexplorées du projet.
« Nous avons documenté à maintes reprises que la plupart des pages Web liées à la santé ont un certain suivi », explique Friedman. « Quelles sont les implications de cela? »
Bien que lui et McCoy ne connaissent pas encore la réponse, ils ont quelques suppositions. Celles-ci vont du ciblage publicitaire relativement inoffensif à la perte de confidentialité beaucoup plus dommageable et à l’effet domino que cela pourrait avoir sur les cotes de crédit, la couverture d’assurance et de nombreuses facettes encore inconnues de la vie de quelqu’un. Pour cette raison, ils espèrent que cette recherche rendra également les consommateurs plus conscients des répercussions potentielles de leur historique de navigation.
McCoy dit que la plupart des gens cliquent simplement sur « oui » dans la fenêtre contextuelle demandant l’utilisation des cookies sans trop réfléchir à ce qu’ils acceptent. « La façon dont le Web est configuré, vous n’avez souvent pas d’autre alternative pour vous protéger du suivi que de vous retirer unilatéralement de la vie en ligne. » L’équipe de la Digital Health Privacy Initiative sait que ce n’est pas réaliste dans la plupart des cas. Au lieu de cela, ils disent que les solutions doivent venir au niveau politique et devraient aborder la confidentialité et la transparence des données.
« La prochaine génération de cookies ne ressemblera pas à des cookies », déclare Friedman. « En fin de compte, nous espérons déterminer la quantité de suivi dont vous avez besoin pour déterminer l’état de santé de quelqu’un. » Ils continueront à éplucher les couches de ce système opaque – cette « boîte noire », comme le décrit Friedman – jusqu’à ce qu’ils puissent suivre entièrement le chemin parcouru par ces données sur le Web.
La source: Université de Pennsylvanie
