Logo Zéphyrnet

Intelligence de données générative

Cyber sécurité

Une prescription pour la protection de la vie privée : soyez prudent lorsque vous utilisez une application mobile de santé

Republié par Platon
Republié par Platon

Date :

Vues: 57

Confidentialité

Compte tenu des habitudes malsaines de collecte de données de certaines applications mHealth, il est conseillé de faire preuve de prudence lorsque vous choisissez avec qui vous partagez certaines de vos données les plus sensibles.

Phil Muncaster

Phil Muncaster

19 Mar 2024
 • 
,
5 minute. lis

Une prescription pour la protection de la vie privée : soyez prudent lorsque vous utilisez une application mobile de santé

Dans l’économie numérique d’aujourd’hui, il existe une application pour à peu près tout. Un domaine en plein essor est celui des soins de santé. Du suivi des règles et de la fertilité à la santé mentale et à la pleine conscience, il existe des applications de santé mobile (mHealth) disponibles pour vous aider dans presque toutes les conditions. En fait, il s'agit d'un marché qui connaît déjà une croissance à deux chiffres et qui devrait valoir montant approximatif de 861 milliards de dollars par 2030.

Mais lorsque vous utilisez ces applications, vous pourriez partager certaines des données les plus sensibles que vous possédez. En fait, le Classements RGPD les informations médicales sont considérées comme des données de « catégorie spéciale », ce qui signifie qu'elles pourraient « créer des risques importants pour les droits et libertés fondamentaux de l'individu » si elles étaient divulguées. C'est pourquoi les régulateurs obligent les organisations à fournir des protections supplémentaires.

Malheureusement, tous les développeurs d’applications n’ont pas toujours à l’esprit les meilleurs intérêts de leurs utilisateurs ou ne savent pas toujours comment les protéger. Ils peuvent lésiner sur les mesures de protection des données, ou ne pas toujours préciser quant à la quantité de vos informations personnelles qu’ils partagent avec des tiers. Dans cet esprit, examinons les principaux risques en matière de confidentialité et de sécurité liés à l'utilisation de ces applications, et comment vous pouvez rester en sécurité.

Quels sont les principaux risques en matière de confidentialité et de sécurité dans les applications de santé ?

Les principaux risques liés à l’utilisation des applications mHealth se répartissent en trois catégories : sécurité des données insuffisante, partage excessif des données et politiques de confidentialité mal formulées ou délibérément évasives.

1. Problèmes de sécurité des données

Ces problèmes proviennent souvent du fait que les développeurs ne respectent pas les règles de bonnes pratiques en matière de cybersécurité. Ils pourraient inclure :

  • Applications qui ne sont plus prises en charge ou ne reçoivent pas de mises à jour : les fournisseurs peuvent ne pas avoir mis en place de programme de divulgation/gestion des vulnérabilités ou être peu intéressés par la mise à jour de leurs produits. Quelle que soit la raison, si le logiciel ne reçoit pas de mises à jour, cela signifie qu'il peut être truffé de vulnérabilités que les attaquants peuvent exploiter pour voler vos données.
  • Protocoles non sécurisés : les applications qui utilisent des protocoles de communication non sécurisés peuvent exposer les utilisateurs au risque que des pirates informatiques interceptent leurs données en transit depuis l'application vers les serveurs back-end ou cloud du fournisseur, où elles sont traitées.
  • Pas d'authentification multifacteur (MFA) : la plupart des services réputés proposent aujourd'hui la MFA comme moyen de renforcer la sécurité au stade de la connexion. Sans cela, les pirates pourraient obtenir votre mot de passe via un phishing ou une violation distincte (si vous réutilisez les mots de passe dans différentes applications) et se connecter comme s'ils étaient vous.
  • Mauvaise gestion des mots de passe : par exemple, les applications qui permettent aux utilisateurs de conserver les mots de passe par défaut ou de définir des informations d'identification non sécurisées telles que "passw0rd" ou "111111". Cela expose l’utilisateur au credential stuffing et à d’autres tentatives de force brute pour pirater ses comptes.
  • Sécurité d'entreprise : les éditeurs d'applications peuvent également avoir mis en place des contrôles et des processus de sécurité limités dans leur propre environnement de stockage de données. Cela peut inclure une mauvaise formation de sensibilisation des utilisateurs, une détection limitée des logiciels malveillants et des points de terminaison/réseau, l'absence de cryptage des données, des contrôles d'accès limités et l'absence de processus de gestion des vulnérabilités ou de réponse aux incidents. Tout cela augmente les risques qu’ils subissent une violation de données.

2. Partage excessif de données

Les informations sur la santé des utilisateurs (PHI) peuvent inclure des détails très sensibles sur les maladies sexuellement transmissibles, la toxicomanie ou d'autres conditions stigmatisées. Ceux-ci peuvent être vendus ou partagés avec des tiers, notamment des annonceurs à des fins de marketing et de publicités ciblées. Parmi les exemples noté par Mozilla sont des fournisseurs de mHealth qui :

  • combiner les informations sur les utilisateurs avec les données achetées auprès de courtiers en données, de sites de réseaux sociaux et d'autres fournisseurs pour créer des profils d'identité plus complets,
  • ne permettent pas aux utilisateurs de demander la suppression de données spécifiques,
  • utiliser les déductions faites sur les utilisateurs lorsqu'ils répondent à des questionnaires d'inscription qui posent des questions révélatrices sur l'orientation sexuelle, la dépression, l'identité de genre et plus encore,
  • autoriser les cookies de session tiers qui identifient et suivent les utilisateurs sur d'autres sites Web pour diffuser des publicités pertinentes,
  • autoriser l'enregistrement de session, qui surveille les mouvements de la souris, le défilement et la saisie de l'utilisateur.

3. Politiques de confidentialité peu claires

Certains prestataires de santé mobile peuvent ne pas être francs au sujet de certaines des pratiques de confidentialité ci-dessus, en utilisant un langage vague ou en cachant leurs activités dans les petits caractères des conditions générales. Cela peut donner aux utilisateurs un faux sentiment de sécurité/confidentialité.

application-santé-fertilité

Que dit la loi

  • GDPR: La loi phare européenne sur la protection des données est assez sans équivoque concernant les organisations qui gèrent des catégories spéciales de données personnelles de santé. Les développeurs doivent effectuer des évaluations d'impact sur la vie privée, respecter les principes du droit à l'effacement et de la minimisation des données et prendre des « mesures techniques appropriées » pour garantir que « les garanties nécessaires » sont intégrées pour protéger les données personnelles.
  • HIPAA : Les applications mHealth proposées par des fournisseurs commerciaux destinés à être utilisés par des particuliers ne sont pas couvertes par la HIPAA, car les fournisseurs ne sont pas des «entité couverte" ou "associé d'affaires.» Cependant, certains le sont – et nécessitent la mise en place de garanties administratives, physiques et techniques appropriées, ainsi qu’un paiement annuel. Analyse de risque.
  • CCPA et CMIA : Les résidents californiens disposent de deux textes législatifs protégeant leur sécurité et leur vie privée dans un contexte de santé mobile : le Confidentiality of Medical Information Act (CMIA) et le California Consumer Privacy Act (CCPA). Ces demandes un niveau élevé de protection des données et un consentement explicite. Cependant, ils ne s’appliquent qu’aux Californiens.

Prendre des mesures pour protéger votre vie privée

Tout le monde aura un appétit pour le risque différent. Certains trouveront le compromis entre les services/publicités personnalisés et la confidentialité qu'ils sont prêts à faire. D’autres ne s’inquiéteront peut-être pas si certaines données médicales sont violées ou vendues à des tiers. Il s'agit de trouver le bon équilibre. Si vous êtes inquiet, considérez ce qui suit :

  • Faites vos recherches avant de télécharger. Découvrez ce que disent les autres utilisateurs et s'il y a des signaux d'alarme de la part d'évaluateurs de confiance
  • Limitez ce que vous partagez via ces applications et supposez que tout ce que vous dites peut être partagé
  • Ne connectez pas l'application à vos comptes de réseaux sociaux et ne les utilisez pas pour vous connecter. Cela limitera les données pouvant être partagées avec ces sociétés.
  • Ne donnez pas la permission aux applications pour accéder à la caméra, à l'emplacement, etc. de votre appareil.
  • Limitez le suivi des publicités dans les paramètres de confidentialité de votre téléphone
  • Utilisez toujours MFA lorsqu'il est proposé et créez des mots de passe forts et uniques
  • Conservez l'application sur la dernière version (la plus sécurisée)

Depuis que Roe vs Wade a été annulé, le débat sur la confidentialité de la santé mobile a pris une tournure inquiétante. Quelques ont sonné l'alarme que les données des dispositifs de suivi des règles pourraient être utilisées dans des poursuites contre les femmes cherchant à interrompre leur grossesse. Pour un nombre croissant de personnes à la recherche d’applications mHealth respectueuses de la vie privée, les enjeux ne pourraient pas être plus élevés.

spot_img

Dernières informations

spot_img

Copyright @ 2024 Platon Technologies Inc.