L’organisation néerlandaise de prévention du suicide 113 Zelfmoordpreventie a été critiquée après que des chercheurs ont découvert que son site partageait des données sensibles de visiteurs avec Google et Microsoft, ce qui pourrait violer les lois européennes sur la vie privée.
Le problème a été découvert par un hacker Mick Beer from Hackedemia.nl éthique, qui a découvert que les visiteurs du site de prévention du suicide étaient suivis via des outils d’analyse et de surveillance, même lorsqu’ils n’avaient pas consenti aux cookies. Selon l’enquête, les informations partagées comprenaient les emplacements des visiteurs, les détails du navigateur et des appareils, des sites web précédemment visités, ainsi que des enregistrements d’écran des activités sur la plateforme.
Les chercheurs ont averti que le simple fait de visiter un site web de prévention du suicide constitue déjà une information médicale hautement sensible dans le cadre européen de la confidentialité du RGPD. La crainte est que les entreprises technologiques recevant ces métadonnées pourraient potentiellement les utiliser pour enrichir des profils publicitaires ou comportementaux liés aux utilisateurs.
« Si quelqu’un ouvre la page 113, ou clique sur le chat ou le menu d’appels, c’est une information sensible en soi », a déclaré Beer aux médias néerlandais.
L’enquête a révélé que certaines informations étaient transmises à Google indépendamment de l’acceptation ou non des cookies de suivi par les utilisateurs. Les données auraient également été partagées avec Microsoft via des systèmes d’analyse supplémentaires lorsque les cookies étaient acceptés.
Bien que l’organisation ait déclaré qu’aucun message de discussion ni contenu direct de conversation n’avait été partagé, les experts en confidentialité estiment que les métadonnées seules peuvent révéler des informations profondément personnelles sur des utilisateurs vulnérables cherchant un soutien en santé mentale. Visiter une page de prévention du suicide, ouvrir un chat de crise ou accéder à des ressources d’aide d’urgence peut déjà indiquer qu’une personne est en détresse psychologique.
Suite à cette divulgation, Stichting 113 a temporairement désactivé tous les outils d’analyse et de mesure sur son site web tout en enquêtant sur l’ampleur du problème. L’organisation a reconnu ses préoccupations concernant la confidentialité des utilisateurs et a indiqué qu’elle revoyait la mise en œuvre des systèmes de suivi.
« Nous comprenons que les visiteurs doivent pouvoir avoir confiance pour que leur vie privée soit protégée », a déclaré un porte-parole après la publication des conclusions.
L’incident a soulevé des préoccupations plus larges concernant les technologies de suivi intégrées sur les sites de santé, de thérapie et de santé mentale. Les chercheurs en confidentialité ont à plusieurs reprises averti que les scripts analytiques, les pixels publicitaires et les outils d’enregistrement de session peuvent exposer involontairement des informations médicales ou psychologiques sensibles à des tiers.
Selon les règles du RGPD, les organisations traitant des données liées à la santé doivent appliquer des protections de confidentialité renforcées et obtenir un consentement explicite avant de traiter des informations sensibles. Les régulateurs pourraient désormais examiner si l’organisation de prévention du suicide avait violé les lois européennes de protection des données en autorisant des systèmes tiers de suivi à collecter les métadonnées des visiteurs.