Cette étude sest
particulièrement attachée à détailler la politique en matière de
vie privée de ces sites et à en noter les travers ou les zones dombre
le plus souvent savamment entretenues.
Politique
en matière de vie privée (21 sites étudiés)
16 des 19 sites
ayant une politique en matière de vie privée proposent un
lien vers celle-ci depuis leur page daccueil. 15 sites
proposent un lien vers des pages extérieur au site.
Sur les 11 sites
ayant des partenaires tiers sur le même réseau, seulement
5 indiquent que leur politique autorise ces derniers à collecter
des informations à propos des utilisateurs.
18 sites indiquent
quand et comment linformation est collectée.
13 sites abordent
le problème des " cookies " et de la manière
dont linformation sur lutilisateur peut être collectée
sans son consentement.
15 sites spécifient
aux utilisateurs la manière dont linformation sera utilisée
et divulguée
16 sites indiquent
que pour chaque utilisateur, un profil est créé
8 sites permettent
un accès aux informations collectées après consentement
10 sites permettent
une correction des informations collectées avec le consentement
de lutilisateur.
11 sites décrivent
les mesures de sécurité propres à leur site.
Tous les politiques
étudiées contiennent des interdictions quant au partage des informations.
Mais le vocabulaire utilisé prête trop souvent à confusion. Par
exemple, certains sites interdisent le partage de ces informations
à " des tiers " ou à " dautres
organisations ". Certains vont jusquà distinguer
les " business partners " des " third
parties ". Sur les 14 sites liés à dautres partenaires
financiers, seuls six sites garantissent ladhésion à la même
politique en matière de vie privée de leurs partenaires. Certains,
comme WebMD, sen dégagent " we cannot guarantee
their compliance with these restrictions ". Seul Oncolink
lie ses partenaires à la même politique.
On comprend que laffichage
dune politique en matière de vie privée ne doit pas se limiter
à une déclaration de bonnes intentions. Ainsi, les auteurs ont tenté
de mesurer lécart entre les aspects décrits et les pratiques
mises en uvre.
Pour 11 sites,
la gestion des bannières publicitaire est réalisée par une
société extérieure. Huit de ces sites utilisent les services
de DoubleClick.com
(voir encadré).
Sur les huit
utilisant les services de DoubleClick.com, seuls 3 mentionnent
la pratique de gestion de bannières publicitaires dans leur
politique en matière de sécurité, et un seul associe la mise
en uvre de ces pratiques à sa propre politique en matière
de vie privée.
Sur les 12 sites
utilisant des cookies et liés à des tiers sur le même réseau,
tous offrent la possibilité à lutilisateur de fournir
des informations personnelles permettant son identification.
Pour certains sites,
les vices de sécurité revêtent une importance des plus préoccupantes.
Problèmes principaux
de sécurité identifiés
Le password sur
le site de WellMed est visible dans la source de la page html
par nimporte quel utilisateur, il y a suffisamment dinformation
sur le code source de la page en question pour permettre de
se connecter et de télécharger la totalité de la base de données
du site.
Sur ce même site,
les numéros de compte des utilisateurs sont codés en URL,
ainsi il est possible davoir accès au dossier personnel
du patient en regardant simplement sur le dossier historique
du navigateur (aucun mot de passe nest requis)
Il existe un
problème similaire sur le site hraonline.com. Sur ce site,
il est même aisé de déduire un numéro de compte dun
autre numéro, permettant ainsi à un tiers de casser la protection
de nombreux comptes.
En conclusion de ce
rapport qui épingle les plus prestigieux sites de santé, les auteurs
soulignent le travail à réaliser avant de pouvoir fournir aux consommateurs
un niveau acceptable de confidentialité et de sécurité. Selon les
auteurs, les politiques de respect de la vie privée avancées par
ces sites prêtent le plus souvent à confusion, ou sont au mieux
inconsistantes, insuffisantes et trompeuses.
Pas moins de 50 pages
dannexes fournissent une étude détaillée des pratiques des
21 sites retenus.
Ce rapport appelle
les responsables des sites de santé à prendre les mesures suivantes :
mettre en uvre une évaluation
complète de leur site quant au respect des règles de respect de
la vie privée,
sassurer du respect de la
politique en matière de vie privée décrite par les pratiques en
uvre (y compris les pratiques des partenaires publicitaires
ou associés),
sassurer de la mise en place
de mesures permettant de préserver lanonymat des utilisateurs,
développer un modèle de politique
en matière de vie privé en partenariat avec lensemble des
sites de santé ou du moins les plus importants.
Il
semblerait que les souhaits de J.Goldman, Z.Hudson et R.Smith soient
parvenus jusquà la Federal
Trade Commission. Daprès Cnet
News.com, la FTC ouvre une enquête sur le partage illégal dinformations
personnelles de visiteurs des sites de santé et invite la plupart
des compagnies du secteur à une rencontre à Washington début mars.
Lannonce de cette
enquête intervient alors que la préservation de la vie privée sur
Internet est au cur des préoccupations actuelles. En effet,
au début de ce mois, la FTC a lancé une enquête concernant la régie
publicitaire DoubleClick, qui a été accusée de collecter des informations
sur les habitudes de shopping de ses clients et de vendre ces informations
à dautres sociétés (cf. encadré ci-dessous).
Le 10 février,
une plainte pour " tromperie et pratiques commerciales
déloyales " a été déposée à l'encontre de DoubleClick,
leader de la publicité sur le web. L'Electronic Privacy
Information Center (Epic), lobby influent installé à Washington,
a déposé une " requête
à des fins d'injonction " auprès de la Federal
Trade Commission (FTC).
Selon les
plaignants, le système sophistiqué de gestion des bannières
de Double Click servirait à identifier les internautes,
nourrissant ainsi de gigantesques bases de données, sans
leur consentement.
Le 27 janvier,
une autre plainte déposée devant le tribunal de Californie
par Harriet Judnick reprend les mêmes arguments.
Le rachat
dAbacus Direct par DoubleClick.com est en partie
à lorigine des craintes quant à la violation de
lanonymat des internautes. En effet, les 88 millions
de fichiers nominatifs de consommateurs américains dAbacus
permettraient par recoupement avec les données anonymes
de DoubleClick.com dassocier des profils anonymes
à des fiches nominatives.
Suite à cette
annonce, des sites ont remis en cause leurs partenariats
avec la société DoubleCLick. Ainsi DrKoop
a récemment revu son accord en vue davoir un meilleur
contrôle des informations collectées sur son site.