La CAI se dit «très préoccupée»

Photo: Thinkstock

Alertée et aux aguets. La Commission d’accès à l’information du Québec (CAI) s’est dite « très préoccupée » mardi par les révélations du Devoir voulant que les sites Web de plusieurs hôpitaux du Québec transmettent des informations personnelles à des entreprises privées spécialisées dans le profilage des internautes, et ce, par l’entremise de « mouchards » dissimulés dans le code de programmation de leurs pages Web. Cette collecte d’informations principalement réalisée dans une perspective d’analyse des déplacements en ligne et de publicité se joue à l’insu du visiteur. Elle pourrait contrevenir à certaines dispositions de la Loi sur la protection des renseignements personnels.

« Nous sommes très préoccupés par cette situation, a indiqué Stéphanie Régnié, porte-parole de la Commission, et pour le moment, nous gardons les yeux grands ouverts ».

Ces mouchards ont été trouvés par Le Devoir sur les sites du Centre hospitalier de l’Université de Montréal (CHUM), du Centre universitaire de santé McGill (CUSM), du Centre hospitalier universitaire de Québec (CHUQ), de l’Hôpital de Montréal pour enfants et du Centre hospitalier universitaire Sainte-Justine. La plupart « aspirent » des données anonymes sur les utilisateurs, comme le type d’ordinateur, l’heure de leur visite, et ce, afin de faciliter leur navigation et offrir aux gestionnaires du site Web des données sur la fréquentation.

D’autres vont toutefois jusqu’à s’approprier l’historique des recherches archivées dans leur fureteur, le numéro de téléphone de l’internaute et des informations personnelles permettant de l’identifier. Ces informations sont envoyées sur des serveurs à l’étranger, principalement aux États-Unis, parfois à Singapour, a révélé notre analyse. Le croisement de plusieurs de ces informations pourrait ouvrir grand la porte à des intrusions dans la vie privée en révélant, par exemple, une condition de santé ou des préoccupations en matière de santé sur des internautes fréquentant ces sites.

Mardi, la direction des communications du CUSM semblait dépassée par la situation. « Nous avons demandé une analyse de notre site Web à nos services informatiques », a indiqué Richard Fahey, porte-parole du Centre hospitalier. « Pour le moment, nous avons identifié deux de ces mouchards qui ne sont pas problématiques et qui sont utilisés par des milliers de sites Web à travers le monde. »

En fin de journée, il était possible encore de croiser toutefois sur le site du CUSM plusieurs autres mouchards collectant des données permettant d’identifier facilement un usager ou « ramassant » son numéro de téléphone, et ce, sur des pages offrant des informations pour les victimes d’agressions sexuelles, mais également celles dédiées à la clinique d’arthrite, à la clinique de la prostate ou au suivi néonatal. Pour ne citer que ces endroits.

Malgré nos appels, il n’a pas été possible de parler à la direction du CHUM. Lundi, la présence de ces mouchards n’était pas connue d’un des responsables du site Web du Centre hospitalier.

Confidentialité en danger?

En fin de journée mardi, la Direction des technologies informatiques du ministère de la Santé a demandé aux hôpitaux de lui confirmer qu’aucun lien n’existait entre « leur site Internet et les données informatiques des patients », a indiqué au Devoir l’attachée de presse de Gaétan Barrette. Le cabinet du ministre de la Santé leur a également demandé « de s’assurer que leur site Internet respecte les lois en vigueur en matière de confidentialité », a ajouté Joanne Beauvais.

Selon le Commissariat à la protection de la vie privée du Canada, le profilage médical des internautes, par l’entremise des mouchards, est loin d’être un épiphénomène dans les univers numériques. Une étude réalisée pour lui l’an dernier par des chercheurs de l’Université de Western Ontario a permis de déceler leur présence dans 87 % des sites canadiens offrant de l’information sur la santé, et dans 83,3 % des sites francophones gouvernementaux spécialisés en santé, dont plusieurs au Québec.

Le « pistage comportemental invisible » qu’ils permettent, au profit des compagnies privées, « présente un risque important pour la protection de la vie privée des Canadiens », indiquent-ils dans un rapport qui évoque le dévoilement à des commerçants de détails sur sa vie intime que l’on souhaiterait garder pour soi, mais également de la discrimination liée à des questions de santé qui pourraient sournoisement en découler de la part d’un employeur ou d’une compagnie d’assurance. Entre autres.

2 commentaires
  • Jacques - Inscrit 6 mai 2015 07 h 00

    Faire la part des choses

    Ces deux articles (peut-être que d'autres suivront) apportent certainement une lumière importante sur une situation inacceptable, à savoir la **transmission d'informations personnelles et indentifiables à des tierce parties sans consentement**, ce qui est, je le répète, bien évidemment inacceptable.

    En tant que spécialiste de l'analytique Web, je me dois par contre de demander qu'on n'oublie pas de faire certaines nuances. Beaucoup d'informations comportementales **anonymes** sont colligées pour des fins d'optimisation des contenus et, oui, des revenus. Aussi, un site suivant toutes les règles d'éthique peut collecter pour lui-même des informations personnelles avec le consentement de l'utilisateur. Vous vous êtes déjà abonné à une infolettre ? Voilà un bel exemple. Le Devoir sait qui je suis et combien de fois par jour je viens sur son site ; ce site a lui-même d'ailleurs plusieurs de ces "mouchards" (ne pourrait-on pas trouver une meilleure traduction au mot tag ? Mouchard est tellement tendencieux...).

    Il faut absolument dénoncer la transmission indue de données personnelles sans consentement explicite, surtout celles concernant la santé, à des entreprises privées si ce sont celles-ci qui les utilisent à leurs propre fins. Mais je crois qu'il ne faudrait pas tomber non plus dans une sorte de paranoïa collective parce que nous sommes "suivis" sur les sites Web. Cela fait 20 ans que nous faisons cela ; pourquoi pensez-vous qu'Internet est gratuit ?!

  • Marc Davignon - Abonné 6 mai 2015 10 h 06

    Bravo!

    Ces «sites» sont des projets executer par des entreprises privées. Et d’un!

    De deux. Faire la conception d'un «site» ces comme faire de la saucisse. Des informaticiens patatentés (designer web ?!?) font ce type de travail avec des outils et des «librairies» déjà toutes prêtes. Ils ne savent pas ce que le produit contient, tout ce qu'ils savent ... c'est que ça marche! Ou, dans l'autre cas, ils le savent trop bien, car, ils en retirent un bénéfice supplémentaire. Dans un cas comme dans l'autre, c'est le client qui se fait avoir.

    Il ne faut pas se surprendre du résultat. Ce qu'il faut ? Un regroupement professionnel pour les informaticiens. Ceci pourrait nous éviter cela! Ce n'est pas la panacée, mais ça aiderait à faire le ménage dans tout ce foutoir qu'est devenue l'informatique.