Les sites Web à but non lucratif suivent les visiteurs, certains allant même jusqu'à suivre les frappes au clavier

L'année dernière, près de 200 millions de personnes ont visité le site Web de Planned Parenthood, une organisation à but non lucratif vers laquelle de nombreuses personnes se tournent pour des questions très privées telles que l'éducation sexuelle, l'accès aux contraceptifs et l'accès aux avortements. Ce que ces visiteurs ne savaient peut-être pas, c'est que dès qu'ils ont ouvert planningparenthood.org, une vingtaine de trackers publicitaires intégrés au site ont alerté un grand nombre d'entreprises dont l'activité n'est pas la liberté de reproduction mais la collecte, la vente et l'utilisation de données de navigation.

Le balisage a exécuté le site Web de Planned Parenthood via notre outil Blacklight et a trouvé 28 trackers publicitaires et 40 cookies tiers pour suivre les visiteurs, en plus des soi-disant "enregistreurs de session" qui pourraient capturer les mouvements de la souris et les frappes des personnes visitant la page d'accueil à la recherche. de choses comme des informations sur les contraceptifs et les avortements. Le site contenait également des trackers qui informaient Facebook et Google si les utilisateurs visitaient le site.

L'analyse de Markup a révélé que le site de Planned Parenthood communiquait avec des sociétés telles qu'Oracle, Verizon, LiveRamp, TowerData et Quantcast, dont certaines se sont spécialisées dans l'assemblage et la vente d'accès à des masses de données numériques sur les habitudes des gens.

Katie Skibinski, vice-présidente des produits numériques chez Planned Parenthood, a déclaré que les données collectées sur son site Web sont "utilisées uniquement à des fins internes par Planned Parenthood et nos affiliés", et que la société ne "vend" pas de données à des tiers.

"Alors que nous visons à utiliser les données pour savoir comment nous pouvons avoir le plus d'impact, chez Planned Parenthood, l'apprentissage basé sur les données est toujours exécuté de manière réfléchie dans le respect de la vie privée des patients et des utilisateurs", a déclaré Skibinski. "Cela signifie utiliser des plateformes d'analyse pour collecter des données agrégées afin de recueillir des informations et d'identifier les tendances qui nous aident à améliorer nos programmes numériques."

Skibinski n'a pas contesté que l'organisation partage des données avec des tiers, y compris des courtiers en données.

Une analyse Blacklight de Planned Parenthood Gulf Coast – un site Web localisé spécifiquement pour les habitants de la région du Golfe, y compris le Texas, où l'avortement a été essentiellement interdit – a produit des résultats similaires.

Planned Parenthood n'est pas le seul en ce qui concerne les organisations à but non lucratif, certaines opérant dans des domaines sensibles comme la santé mentale et la toxicomanie, recueillant et partageant des données sur les visiteurs du site Web.

À l'aide de notre outil Blacklight, The Markup a scanné plus de 23 000 sites Web d'organisations à but non lucratif, y compris ceux appartenant à des prestataires d'avortement et à des centres de traitement de la toxicomanie à but non lucratif. Le balisage a utilisé le fichier principal à but non lucratif de l'IRS pour identifier les organisations à but non lucratif qui ont déposé une déclaration de revenus depuis 2019 et que l'agence classe comme se concentrant sur des domaines tels que la santé mentale et l'intervention en cas de crise, les droits civils et la recherche médicale. Nous avons ensuite examiné le site Web de chaque organisation à but non lucratif tel qu'il est répertorié publiquement dans GuideStar. Nous avons constaté qu'environ 86 % d'entre eux disposaient de cookies tiers ou de demandes de suivi du réseau. En comparaison, lorsque The Markup a réalisé une enquête sur les 80 000 meilleurs sites Web en 2020, nous avons constaté que 87 % utilisaient un type de suivi tiers.

Environ 11 % des 23 856 sites Web à but non lucratif que nous avons analysés comportaient un pixel Facebook intégré, tandis que 18 % utilisaient la fonctionnalité « Remarketing Audiences » de Google Analytics.

Le balisage a révélé que 439 des sites Web à but non lucratif chargeaient des scripts appelés enregistreurs de session, qui peuvent surveiller les clics et les frappes des visiteurs. Quatre-vingt-neuf d'entre eux concernaient des sites Web appartenant à des organisations à but non lucratif que l'IRS classe comme se concentrant principalement sur les problèmes de santé mentale et d'intervention en cas de crise.

"En tant qu'utilisateur de ce site Web, en partageant vos informations avec eux, vous ne supposez probablement pas que ces informations sensibles sont partagées avec des tiers et ne supposez certainement pas que vos frappes sont enregistrées", Gunes Acar, un chercheur en confidentialité qui a copublié une étude de 2017 sur les enregistreurs de session, a déclaré. "Plus le site Web est sensible, plus je suis inquiet."

Tracy Plevel, vice-présidente du développement et des relations communautaires chez Gateway Rehab, l'une des organisations à but non lucratif avec des enregistreurs de session sur son site, a déclaré que l'organisation à but non lucratif utilise des trackers et des enregistreurs de session car elle doit rester compétitive avec ses homologues plus importants à but lucratif.

"En tant qu'organisation à but non lucratif nous-mêmes, nous sommes confrontés à des fournisseurs à but lucratif dotés de budgets publicitaires importants ainsi qu'aux courtiers en traitement de la toxicomanie qui attrapent ceux qui recherchent des soins avec des tactiques de publicité en ligne similaires et les mettent en contact avec le fournisseur qui offre la plus grande rémunération" de vente ". », a déclaré Plevel. "De plus, nous savons que l'expérience utilisateur a un impact important sur le suivi du traitement. Quand quelqu'un est prêt à s'engager dans un traitement, nous devons nous assurer que c'est aussi simple que possible pour lui avant qu'il ne soit frustré ou intimidé par le processus.

D'autres organisations à but non lucratif avaient également un nombre important de trackers intégrés sur leurs sites. Le balisage a trouvé 26 trackers publicitaires et 50 cookies tiers sur The Clinic at Sharma-Crawford Attorneys at Law, une clinique juridique de Kansas City qui représente les personnes à faible revenu menacées d'expulsion.

Rekha Sharma-Crawford, présidente du conseil d'administration de The Clinic, a écrit dans un communiqué envoyé par courrier électronique : "Nous prenons très au sérieux les problèmes de confidentialité et de sécurité et continuerons à travailler avec notre fournisseur Web pour résoudre les problèmes que vous avez identifiés."

Save the Children, une organisation d'aide humanitaire fondée il y a plus de 100 ans, disposait de 26 trackers publicitaires et de 49 cookies tiers. March of Dimes, une organisation à but non lucratif créée par le président Franklin D. Roosevelt qui se concentre sur les soins maternels et infantiles, avait plus de 29 trackers publicitaires sur son site et 58 cookies tiers. City of Hope, un centre californien de traitement et de recherche sur le cancer, disposait de 25 trackers publicitaires et de 47 cookies tiers.

Paul Butcher, vice-président associé de la stratégie numérique mondiale chez Save the Children, a déclaré dans un communiqué envoyé par courrier électronique que l'organisation "prend la protection des données très au sérieux". Butcher a également écrit que Save the Children collecte certaines données via des trackers publicitaires "pour améliorer l'expérience utilisateur" et que l'organisation est en train de réorganiser ses politiques de conservation des données et a récemment embauché un nouveau responsable des données.

March of Dimes et City of Hope n'ont pas répondu aux demandes de commentaires.↩︎ lien

Lois sur la confidentialité au niveau de l'État Miss Nonprofits

Alors que les données de santé sont régies par HIPAA et que FERPA réglemente les dossiers scolaires, il n'y a pas de lois fédérales régissant la façon dont les sites Web suivent leurs visiteurs. Récemment, quelques États (Californie, Virginie et Colorado) ont promulgué des lois sur la confidentialité des consommateurs qui obligent les entreprises à divulguer leurs pratiques de suivi et permettent aux visiteurs de refuser la collecte de données.

Mais les organisations à but non lucratif de deux de ces États, la Californie et la Virginie, n'ont pas besoin de se conformer à la réglementation.

Le sénateur Ron Wyden (D-OR), qui a proposé sa propre législation fédérale sur la protection de la vie privée, a déclaré que les organisations à but non lucratif accumulent une grande quantité de données potentiellement sensibles.

"Les organisations à but non lucratif stockent des informations incroyablement personnelles sur des choses qui nous passionnent, des causes politiques et des opinions sociales aux causes caritatives qui nous tiennent à cœur", a déclaré Wyden dans un communiqué envoyé par courrier électronique. "Si une violation de données révèle que quelqu'un fait un don à un groupe de soutien à la violence domestique ou à une organisation de défense des droits des LGBTQ ou le nom de leur mosquée, toutes ces informations pourraient être incroyablement privées."

Les dirigeants d'organisations à but non lucratif, cependant, affirment qu'ils manquent d'infrastructure et de financement pour se conformer aux exigences de la loi sur la protection de la vie privée et qu'ils doivent recueillir et partager des informations sur les donateurs pour survivre.

"L'une des utilisations les plus substantielles et les plus percutantes des données par les organisations à but non lucratif a été notre collecte de fonds", a déclaré Shannon McCracken, PDG de The Nonprofit Alliance, un groupe de défense composé d'organisations à but non lucratif et d'entreprises. "Sans la capacité d'atteindre de manière rentable de nouveaux donateurs potentiels et des donateurs actuels, les organisations à but non lucratif ne peuvent pas continuer à avoir autant d'impact qu'elles le sont aujourd'hui."

Mais intentionnellement ou non, selon les experts de la confidentialité, les organisations à but non lucratif fournissent des informations personnelles aux courtiers en données et aux géants de la technologie comme Facebook et Google.

"Une organisation à but non lucratif peut partager votre numéro de téléphone et votre nom avec LiveRamp. Demain, une entité à but lucratif pourra alors réutiliser ces mêmes données pour vous cibler », a déclaré Ashkan Soltani, expert en confidentialité et ancien technologue en chef à la Federal Trade Commission. "Les flux de données qui entrent dans ces agrégateurs et courtiers de données tiers proviennent souvent également d'organisations à but non lucratif."

Soltani, qui a été nommé directeur exécutif de la California Privacy Protection Agency le 4 octobre, a aidé à rédiger la California Consumer Privacy Act, qui a été initialement introduite avec les exemptions à but non lucratif.

De nombreuses grandes organisations à but non lucratif travaillent avec des courtiers en données pour les aider à organiser et à analyser leurs données, a déclaré Jan Masaoka, PDG de la California Association of Nonprofits.

"Les personnes qui ont de grandes listes de donateurs les utilisent largement, presque toutes utilisent l'un des services", a déclaré Masaoka. "Ils ne le gardent pas en interne, à peu près tout le monde le garde avec l'un de ces services."

Elle a noté que Blackbaud est une entreprise vers laquelle les organisations à but non lucratif se tournent souvent. Le matériel marketing du courtier de données enregistré fait la promotion d'une base de données coopérative qui combine les données des donateurs de plus de 550 organisations à but non lucratif avec des informations publiques sur des millions de ménages.

Blackbaud n'a pas répondu à une demande de commentaire.

En raison d'un manque de fonds, les organisations à but non lucratif s'appuient également sur des plateformes tierces, qui sont également des courtiers en données, pour gérer la sécurité et la confidentialité de leurs données, a déclaré McCracken. Mais ces types d'entreprises ne sont pas non plus à l'abri des cyberattaques : Blackbaud a révélé une attaque de ransomware en 2020 dans laquelle des pirates ont volé des mots de passe, des numéros de sécurité sociale et des informations bancaires, selon un dossier de la Securities and Exchange Commission. Des centaines d'organisations caritatives, d'écoles et d'hôpitaux ont été touchés, ainsi que plus de 13 millions de personnes, selon le Identity Theft Resource Center.

"Ils s'appuient sur ce type d'écosystème problématique pour accomplir leur travail et, par conséquent, ils partagent des listes de numéros, des adresses e-mail ou des comportements de navigation avec des sociétés de publicité tierces et exposent leurs membres à des risques", a déclaré Soltani.↩︎ lien

L'éxéption

Contrairement à ses prédécesseurs en Californie et en Virginie, le projet de loi sur la confidentialité du Colorado ne prévoit pas d'exemption pour les organisations à but non lucratif.

En Californie et en Virginie, les principaux partisans des projets de loi ont accordé une exemption aux organisations à but non lucratif à titre de manœuvre politique. Alastair Mactaggart, un promoteur immobilier et fondateur de Californians for Consumer Privacy, qui était le moteur de la California Consumer Privacy Act, a déclaré que sa proposition faisait déjà face à l'opposition des géants de la technologie et ne voulait pas non plus d'affrontement politique avec les organisations à but non lucratif.

"Vous devez faire le premier pas, alors nous avons pensé que c'était celui qui serait le plus facile à rebondir", a déclaré Mactaggart. "Finalement, j'espère que les grandes organisations à but non lucratif seront également incluses."

David Marsden, le sénateur de l'État qui a présenté le Virginia Consumer Data Protection Act, a fait écho à ce sentiment, reflétant que la loi n'était pas parfaite mais qu'elle était toujours un bon début.

«Est-ce que cela ramasse tout le monde qu'il devrait, ou exempte-t-il tous ceux qui ont besoin d'une exemption? Probablement pas, mais c'est assez proche », a déclaré Marsden. "Nous avons pu, avec ce projet de loi, le faire adopter sans que les gens se lèvent et s'objectent à ce que nous essayions de faire."

Le sénateur de l'État du Colorado, Robert Rodriguez, qui a coparrainé le projet de loi sur la confidentialité de l'État, a déclaré qu'il n'incluait pas d'exemption pour les organisations à but non lucratif, car il estimait que toute entité disposant de données sur plus de 100 000 personnes devrait respecter les protections de la vie privée. Il ne comprenait pas non plus pourquoi d'autres États avaient des exemptions.

"Quelqu'un qui a plus de 100 000 enregistrements est une bonne taille", a-t-il déclaré dans un e-mail. "Ils devraient avoir des protections ou des exigences à suivre."

Note de l'éditeur : cet article a été initialement publié sur The Markup par Alfred NG et Maddy Varner, et a été republié sous la licence Creative Commons Attribution-NonCommercial-NoDerivatives .

Avez-vous des idées à ce sujet? Faites-le nous savoir ci-dessous dans les commentaires ou transférez la discussion sur notre Twitter ou Facebook.

Recommandations des éditeurs :

• Apple rejettera votre application si elle contient des trackers tiers qui collectent des données sans consentement
• Comment empêcher votre Android de donner son identifiant unique à des trackers tiers
• Comment empêcher votre iPhone de donner son identifiant unique à des traceurs tiers
• Mozilla Firefox propose désormais une nouvelle fonctionnalité conçue pour lutter contre les trackers