La Federal Trade Commission a appliqué pour la première fois sa règle de notification des violations des données de santé, vieille de près de quatorze ans. Mercredi 1er février, la commission a infligé à GoodRx, un fournisseur de services de télésanté et de médicaments sur ordonnance à prix réduit, une amende civile de 1,5 million de dollars pour avoir omis de signaler aux consommateurs qu'il partageait leurs données avec des annonceurs, dont Facebook et Google.
La FTC affirme que GoodRx a partagé pendant des années des informations de santé personnelles sensibles avec des entreprises tierces, contrairement à ses engagements en matière de confidentialité, et qu'elle a également omis de signaler les divulgations non autorisées, comme l'exige la règle de notification des atteintes à la santé de la FTC. L'agence a donc demandé au ministère fédéral de la Justice de déposer une plainte et une proposition d'ordonnance auprès du tribunal de district des États-Unis pour le district nord de la Californie. L'ordonnance est soumise à l'approbation d'un juge fédéral.
En 2021, la FTC a élargi son interprétation de la règle de notification des violations pour y inclure les incidents d'accès non autorisé, et pas seulement les violations de données résultant d'incidents de cybersécurité. Elle a également déclaré que les dossiers médicaux personnels couverts par la règle de notification incluent les applications capables de tirer des informations de sources multiples. L'interprétation remaniée a suscité l'opposition des deux républicains de la commission de l'agence, qui ont accusé leurs homologues démocrates d'étendre l'autorité de l'agence. Les représentants de l'industrie technologique ont eu des réactions similaires et ont qualifié la nouvelle déclaration de politique générale de l'agence d'escamotage d'une loi de notification en un règlement sur la protection de la vie privée. Le Congrès a promulgué la loi sur la notification des violations des données de santé sous l'administration Obama, dans l'attente d'une explosion des dossiers médicaux de qualité grand public, qui ne s'est pas concrétisée malgré l'optimisme éphémère de l'époque concernant la portabilité des données de santé et les espoirs d'une nouvelle approche des soins de santé axée sur les données.
Les responsables de la FTC ont déclaré en privé que l'acceptation par l'industrie de la nouvelle déclaration de principe sur la loi relative à la notification des atteintes à la vie privée serait essentielle pour cimenter sa légitimité, ce qui rend l'acquiescement de GoodRx important non seulement pour les utilisateurs dont la vie privée a été prétendument violée, mais aussi potentiellement pour les futures mesures d'application.
« La FTC fait savoir par Samuel Levine, directeur du Bureau de la protection des consommateurs de la FTC, qu'elle utilisera toute son autorité légale pour protéger les données sensibles des consommateurs américains contre une utilisation abusive et une exploitation illégale. »
You know what, we are not happy. Tu m’étonnes.
GoodRx a déclaré qu'elle n'était pas d'accord avec l'affirmation de l'agence selon laquelle elle avait violé la loi sur la notification des violations des données de santé, qualifiant les allégations de la FTC de « nouvelle application » de la loi. Le règlement de la plainte n'implique aucune reconnaissance d'actes répréhensibles et la société affirme qu'elle procède simplement « pour éviter le temps et les frais d'un litige prolongé ». La plainte fait état d'un modèle de non-respect de la vie privée, notamment par le partage des informations sur les prescriptions et les conditions médicales des utilisateurs avec Facebook, Google, Criteo, Branch et Twilio. Plus de 55 millions de consommateurs ont visité ou utilisé le site web ou l'application mobile de GoodRx depuis janvier 2017, indique la plainte. GoodRx a utilisé les informations de santé personnelles de ses consommateurs qu'elle partageait avec Facebook pour proposer également à ses propres utilisateurs des publicités personnalisées sur la santé et les médicaments sur Facebook et Instagram. Ce n'est qu'en février 2020 que GoodRX a mis en place des politiques ou des procédures pour protéger ses informations de santé personnelles. Mais même alors, sans doute par timidité et à l’insu de son plein gré, « elle a omis d'informer les utilisateurs que leurs informations de santé avaient été divulguées sans leur autorisation », indique la plainte.
Pour le Peuple et par le Peuple
Des organismes de surveillance de la vie privée, dont Consumer Reports, ont enquêté en cours de 2020 sur les pratiques de la société en matière de protection de la vie privée, enquêtes qui ont conduit GoodRX à s'engager à ne plus partager ses données de santé avec Facebook et à permettre aux utilisateurs de supprimer leurs données. En 2021, la société a déclaré un chiffre d'affaires de 745,4 millions de dollars, mais a terminé l'année avec des pertes de 25,3 millions de dollars.
Outre la sanction pécuniaire civile, l'ordonnance proposée par le tribunal fédéral contre GoodRx vise à obtenir une injonction permanente contre de telles actions. Elle exige également que GoodRx informe tout tiers avec lequel elle a partagé des informations de santé personnelles et demande une confirmation écrite que le tiers a supprimé ces informations.
Lucia Savage, responsable de la protection de la vie privée à l'Office of the National Coordinator for Health IT du Department of Health and Human Services (Ministère fédéral de la Santé américain), a déclaré que « la FTC avait clairement signalé depuis un certain temps son intention de prendre des mesures énergiques concernant les informations relatives à la santé dans l'espace grand public ». Il poursuit en indiquant qu’il n’est pas surpris le contenu de la plainte. L'action de la FTC « est une ordonnance stipulée », ce qui signifie que GoodRx et la FTC la présentent ensemble au juge comme la meilleure voie à suivre. GoodRx ne se bat pas contre la FTC ici.
A step forward
Pam Dixon, directrice exécutive du World Privacy Forum, est également satisfaite de l'action de la FTC. « En bref, ce fut une journée passionnante pour nous », dit-elle. « On ne saurait trop insister sur l'importance du précédent concernant les fausses déclarations relatives à l'HIPAA », dit-elle, à propos de la FTC qui a cité GoodRx pour avoir faussement dit aux consommateurs, par le biais d'un sceau, que sa page d'accueil sur les services de télésanté était conforme à l'HIPAA.
« Il s'agit d'une affaire très importante, et c'est un problème sérieux depuis un certain temps déjà », dit-elle. « L'ordonnance proposée est excellente. Ils ont fait un très bon travail avec cela, couvrant une variété de comportements délétères fondés sur le seul mercantilisme bien loin de la protection de la santé des citoyens ».
On aimerait que la Cnil soit aussi soucieuse de l’esprit et de la lettre du droit européen. Manque de moyens ? Manque de courage ? Manque d’indépendance ?
Décidément, il est des caractères qui demeurent immuables : La Corée du Sud invente, la Chine copie, l’Allemagne industrialise, l’Angleterre prête, l’Amérique vend, la France contourne, la Suisse encaisse et l’Ukraine défend son honneur et sa peau. Drôle de monde.
Pause exceptionnelle de votre newsletter
En cuisine avec le Dr Dominique Dupagne
[VIDÉO] Recette d'été : la chakchouka
Florie Sullerot, présidente de l’Isnar-IMG : « Il y a encore beaucoup de zones de flou dans cette maquette de médecine générale »
Covid : un autre virus et la génétique pourraient expliquer des différences immunitaires, selon une étude publiée dans Nature