La startup de santé mentale Cerebral a partagé des données privées sur les patients avec Google, Meta et TikTok
Cerebral, dans un avis publié sur son site Web, révèle avoir involontairement partagé des données privées sur ses patients. Ces informations ont alors été fournies à des annonceurs ainsi que des plateformes de médias sociaux comme Facebook, Google et TikTok.
Cette faille de sécurité a été découverte suite à un examen de son utilisation de ces technologies et de ses pratiques de partage de données . La start up annonce avoir pris les mesures nécessaires afin de limiter les dégâts. Un dossier a aussi été transmis auprès du gouvernement fédéral.
Quelques millions de patients concernés
Cerebral est une start up de télésanté qui a gagné en notoriété au début de la pandémie de Coronavirus. Selon son communiqué, plus de 3,1 millions de patients sont concernés par cette affaire. Les données divulguées peuvent être classées en tant qu’informations de santé protégées en vertu de l’HIPAA (Health Insurance Portability and Accountability Act).
Parmi les données partagées figurent les noms, les numéros de téléphone, les dates de naissance et les informations d’assurance de ses patients. Dans certains cas, les informations recueillies grâce à l’auto-évaluation de leur santé mentale ont également été exposées. Ces détails ont été fournis lorsque les utilisateurs de l’application ont rempli des formulaires pour planifier des rendez-vous de conseil ou afin d’accéder à d’autres services. Toutefois, Cerebral a tenu à rassurer ses usagers et a précisé qu’il n’a pas divulgué de numéros de sécurité sociale, d’informations bancaires ou de numéros de carte de crédit.
Les technologies de suivi sont mises en cause
Cerebral a mis en cause les technologies de suivi mises à disposition par des tiers comme Google, Meta et TikTok. Généralement, les sites Web utilisent ces systèmes pour la publicité. Il arrive souvent que ces pratiques se terminent par des violations de données.
Dans son communiqué, Cerebral explique qu’« après avoir pris connaissance de ce problème, Cerebral a rapidement désactivé, reconfiguré et/ou supprimé les technologies de suivi sur les plates-formes de Cerebral pour empêcher toute divulgation de ce type à l’avenir et a interrompu ou désactivé le partage de données avec des sous-traitants incapables de répondre à toutes les exigences HIPAA ». « En outre, nous avons amélioré nos pratiques de sécurité de l’information et nos processus de vérification des technologies afin d’atténuer davantage le risque de partage de telles informations à l’avenir », ajoute-t-il.
