Symptômes médicaux, médicaments utilisés, périodes d'ovulation… Toutes ces informations très personnelles sont susceptibles d'être transmises à des sociétés technologiques pour alimenter leurs bases de données. C'est la conclusion d'une enquête menée par des journalistes du Financial Times, qui ont analysé les cookies déposés par des dizaines de sites internet de santé ayant pignon sur rue au Royaume-Uni, notamment les très populaires WebMD, Healthline, Babycentre ou Bupa. Sur ces sites, les internautes partagent leurs petits ou leurs gros bobos, pratiquent l'autodiagnostic en confiant leurs symptômes à un moteur de recherche ou s'interrogent sur les effets de tel ou tel médicament.

Sans consentement

Le souci, c'est que 79% des sites concernés transmettent des données dites "sensibles", car touchant à la santé, à des tiers. Et pas à n'importe quels tiers. Google, Amazon, Facebook, Oracle, Scorecard ou OpenX, pour ne citer qu'eux. Réglementairement, notamment avec la RGPD, les informations de santé ne peuvent être transmises sans le consentement des personnes concernées. Or en l'espèce, la norme semble être la transmission sans consentement. Les travaux montrent que la destination la plus commune des données est DoubleClick, la filiale de Google (78% des sites), devant Amazon (48%). Attention, cela ne signifie pas forcément que tel géant de l'internet sait que Monsieur X va bientôt être père ou que Madame Y est régulièrement frappée de migraines. La transmission est, c'est d'ailleurs l'une des réponses apportées par les sociétés concernées, normalement anonymisée. Cela ne règle pas pour autant la question du consentement.

"Ces découvertes sont remarquables et très préoccupantes", a expliqué au FT Wolfie Christl, un chercheur spécialisé dans l'univers de la publicité en ligne, pour qui "ce genre de données est clairement sensible et bénéficie d'une protection spéciale via la RGPD et la transmission de ces données est probablement faite en violation de la loi". Très concrètement, le Financial Times cite plusieurs exemples, notamment le fait que tous les noms de médicaments entrés dans le moteur de recherche de Drugs.com sont envoyés à DoubleClick, ou bien que les symptômes inscrits dans le "vérificateur de symptômes" de WebMD et le diagnostic reçu par l'utilisateur… partent chez Facebook. Dans le même registre, les informations menstruelles et sur le cycle d'ovulation de BabyCentre finissent chez Amazon Marketing.

Big data

Google a expliqué à la publication ne pas utiliser les données sensibles pour construire des profils utilisateurs et revendique une politique stricte empêchant les annonceurs d'utiliser de telles données pour de la publicité ciblée. Chez Facebook, il n'a pas été possible de savoir ce que l'entreprise faisait avec les informations, mais elle a expliqué "nous ne voulons pas que les sites Internet partagent les informations sur la santé des personnes avec nous, c'est une violation de notre politique". Le Californien a prévu de conduire une enquête interne et de prendre des mesures vis-à-vis des sites concernés. Chez Amazon.com, on précise que cette information n'est pas utilisée pour informer les segments en charge de l'audience publicitaire. En revanche, la société n'a pas précisé ce qu'elle faisait de ces données. Le Financial Times publie également les réponses qu'il a obtenues des principaux sites concernés par son enquête.