L'institution de bienfaisance Privacy International a passé au crible plus de cent sites web spécialisés en santé mentale en France, en Allemagne et en Grande-Bretagne. Elle a découvert que des données d'utilisateurs sont souvent partagées avec des tiers, dont des publicitaires et des géants technologiques. La manière dont ces informations sont vendues, a été jugée "ni transparente, ni honnête et souvent sans base légale claire", peut-on lire dans le rapport d'enquête. Les sites web contreviendraient ainsi aux règles de confidentialité européennes.

L'enquête effectuée par Privacy International porte notamment sur les cookies (mouchards) installés sur les sites web. Le groupe a utilisé l'outil Webxray pour analyser quelles données les sites collectaient. Il a passé en revue 136 sites populaires spécialisés dans les problèmes psychiques, ainsi que quelques tests de dépression largement utilisés en ligne. Il en ressort que trois quarts des cookies installés sur ces sites étaient exploités à des fins de marketing et de publicité. En moyenne, un site de santé en France utilisait 44 cookies, contre 12 en Grande-Bretagne et 7 en Allemagne. Parmi ces sites, 85 à 92 pour cent intègrent un traceur Google, mais les traceurs de Facebook sont aussi populaires sur les sites de santé: 49 pour cent des sites web français en disposent d'un, de même que 49 pour cent aussi en Grande-Bretagne et 23 pour cent en Allemagne. Grâce à ces cookies, des géants technologiques tels Google, Facebook et Amazon peuvent envoyer des publicités ciblées aux utilisateurs.

Si cela n'est pas nouveau en soi sur le web, c'est évidemment plus sensible, lorsqu'il est question de santé mentale. "Il devient toujours plus difficile pour les gens de rechercher des informations en matière de santé mentale et de faire appel à un 'test de dépression' par exemple, sans que cela ne soit suivi par un nombre incroyablement élevé d'acteurs tiers", comme le résume Frederike Kaltheuner de Privacy International.

Les résultats de Privacy International semblent suggérer que ces sites web enfreignent le règlement européen en matière de respect de la vie privée, le GDPR. Ce dernier stipule que les sites web doivent demander l'autorisation pour collecter des données et communiquer de manière transparente sur ce qu'ils font avec ces données. Dans le cas d'informations sensibles, comme celles qui concernent la santé, cette autorisation doit en outre se faire explicitement, comme par exemple: 'Acceptez-vous que nous partagions vos données de santé avec cette liste d'annonceurs?'. Un 'non' à cette question ne peut empêcher l'utilisateur de continuer d'utiliser le site web. Tel n'est toutefois pas souvent le cas des sites examinés dans le cadre de cette enquête, peut-on lire dans le rapport de PI. Certains sites ne possédaient pas de formulaire de demande d'autorisation, tandis que d'autres utilisaient un écran générique. Une partie des cookies, selon PI, étaient aussi installés, avant que l'utilisateur ne puisse donner son autorisation ou refuser.