Le consortium Kaiser révèle une violation de données de santé, 13 millions d’Américains concernés
Kaiser Permanente, l’un des plus grands organismes de gestion de soins aux États-Unis, a annoncé une fuite de données de patients après avoir partagé certaines d'entre elles avec des tiers, dont Google, Microsoft et X (ex-Twitter). 13 millions d’Américains sont impactés, un record pour le secteur américain de la santé cette année.
Le Kaiser Foundation Health Plan (KFHP), entité opérant pour le compte de Kaiser Permanente, l’un des plus grands prestataires de soins américain, a annoncé qu’il allait informer des millions de patients d’une violation de données. Suivant un avis déposé auprès du gouvernement américain le 12 avril, et rendu public le 25 avril, les données personnelles de 13,4 millions de personnes sont concernées. Les notifications de la fuite de données aux patients débuteront début mai.
Des données personnelles remontées à Google, Microsoft et X
“Kaiser Permanente a déterminé que certaines technologies en ligne, précédemment installées sur ses sites web et applications mobiles, pouvaient avoir transmis des données personnelles à des fournisseurs tiers Google, Microsoft Bing et X (ex-Twitter) lorsque les membres et les patients accédaient à ses sites ou applications mobile”, a déclaré le consortium de santé.
Ces données personnelles partagées avec les tiers incluent les noms et adresses IP de membres ou patients, actuels comme anciens. Les fournisseurs tiers ont aussi pu savoir si les membres ont été connectés à un compte ou service Kaiser, et connaître la manière dont les membres ont interagi sur le site et les applications (habitudes de navigation, recherches dans l’encyclopédie de santé). Cette violation de données est la plus importante en 2024 pour le secteur de la santé aux États-Unis.
Kaiser Permanente a confirmé que ces données personnelles étaient partagées avec des annonceurs à l’aide de “pixels de suivi”, qui se présentent généralement sous forme de morceaux de code JavaScript ou de balises HTML intégrés dans les pages web. Lorsque l’utilisateur visite la page en question, le code est exécuté, envoyant une demande à un serveur externe pour enregistrer l’action. Ces outils sont souvent conçus pour collecter des données personnelles à des fins d’analyse, et partagés avec des professionnels du marketing, de la publicité et du courtage de données. La société indique qu’à la suite d’une enquête interne volontaire, ces “pixels de suivi” ont été supprimés des sites web et applications mobiles.
Une méthode de tracking courante dans la santé
L’année dernière, des start-up d’e-santé ont partagé avec des tiers des informations personnelles, mais aussi de santé, à l’aide de cette méthode. C’est le cas de Cerebral, qui a partagé “par inadvertance” des évaluations sur la santé mentale de 3,1 millions de patients aux États-Unis avec Facebook, Google et TikTok. Monument, start-up américaine spécialisée dans la prescription de traitements en ligne pour les troubles liés à la consommation d’alcool, a également partagé les données de plus de 100 000 patients. Parmi ces données, les réponses fournies par le patient sur sa consommation d’alcool et sa photo d’identité.
Kaiser Permanente gère 40 hôpitaux et plus de 600 établissements médicaux en Californie, au Colorado, à Washington D.C., en Géorgie, à Hawaï, dans le Maryland, en Oregon et en Virginie. En juin 2022, le prestataire de soins a annoncé avoir été victime d’une violation de données, exposant les informations de santé de plus de 69 000 patients. À l’époque, un cybercriminel avait accédé au compte de messagerie d’un employé contenant des données de santé protégées, y compris des résultats de tests de laboratoire.
SUR LE MÊME SUJET
Le consortium Kaiser révèle une violation de données de santé, 13 millions d’Américains concernés
Tous les champs sont obligatoires
0Commentaire
Réagir