Pourquoi la confidentialité des données de santé a besoin d’un coup de pouce 

Le secteur américain de la santé est confronté à un grave désordre numérique qui s’étend au-delà des innombrables cas de vol de données et s’étend à quelque chose de plus pernicieux. Comment l’avons-nous attrapé et comment pouvons-nous le guérir ?

Les gros titres regorgent d’exemples d’entreprises de soins de santé piratées qui ont perdu des données clients. De l'hymne perte de 79 millions d'enregistrements d'utilisateurs en 2015, jusqu'en décembre dernier vol des données des 3.3 millions d'utilisateurs de Regal Medical Group, les violations se succèdent. Le dernier rapport du ministère américain de la Santé et des Services sociaux rapport au Congrès montre une augmentation de 58.2 % des signalements de violations de données touchant plus de 500 personnes entre 2017 et 2021.

Trois types de violation 

Les deux premières causes principales d’atteintes à la vie privée sont bien comprises. La brèche Anthem relève d’une attaque ciblée contre un système bien protégé. Les enquêteurs ont conclu qu'un État-nation étranger était impliqué et qu'Anthem avait pris des mesures raisonnables pour protéger ses données avant le piratage. La deuxième cause est la négligence incompétente, telle que exposition de millions d'images médicales en ligne via un stockage non sécurisé.

La troisième cause d'atteinte à la vie privée est plus intéressante car elle est intentionnelle. Cela se fait en connaissance de cause de l’entreprise responsable des données de santé. Pour emprunter à la terminologie médicale, les deux premiers types de violations sont des événements aigus et discrets dont la fin est connue. Une infraction à la vie privée inscrite dans la politique de l’entreprise est une maladie chronique, qui persiste aussi longtemps que les auteurs le permettent.

L’une des violations de la vie privée les plus notables sanctionnées par l’entreprise impliquait un service de conseil en ligne appelé BetterHelp. En mars de cette année, la FTC a contraint cette société à payer un règlement de 7.8 millions de dollars pour régler les accusations de partage de données de santé sensibles des consommateurs avec des tiers, notamment Facebook, Pinterest et Snapchat. La FTC a déclaré que BetterHelp partageait des données, notamment des informations sur les problèmes de santé mentale des consommateurs recueillies via un questionnaire, ainsi que leurs adresses e-mail et adresses IP.

La transmission de ces informations à Facebook a permis au géant des médias sociaux d'exploiter les données qu'il détenait sur ses autres utilisateurs, de trouver ceux présentant des caractéristiques similaires à celles des clients de BetterHelp et de les cibler avec des publicités pour générer de nouveaux clients.

La FTC plainte allègue également que BetterHelp a inclus le sceau HIPAA (Health Insurance Portability and Accountability Act) sur ses sites et a revendiqué la certification sans qu'aucune agence gouvernementale n'examine les pratiques de l'entreprise en matière de données.

Le suivi par des tiers est monnaie courante parmi les prestataires de soins de santé. UN rapport in Health Affairs a récemment découvert que près de 99 % des hôpitaux utilisent le suivi sur leurs sites Web. Ces trackers envoyaient des données aux réseaux sociaux, aux sociétés de publicité et aux courtiers en données. Ces hôpitaux « facilitent le profilage de leurs patients par des tiers », indique le rapport, ce qui entraîne des préjudices pour les dignitaires.

Inscrivez-vous ici et renoncez à vos droits en matière de confidentialité pour continuer 

Les violations de la vie privée ne sont pas toujours commises à l'insu de l'utilisateur. Parfois, comme cela arrive souvent dans le secteur technologique, les entreprises persuadent leurs clients de renoncer à leurs droits à la vie privée. Un Washington Post enquête a récemment découvert qu'Amazon faisait cela dans le cadre de son projet de soins de santé axé sur le consommateur, Amazon Clinic. Le service suit le modèle de plateforme, offrant un forum permettant aux consommateurs d'interagir en ligne avec des cliniciens partenaires et d'obtenir des prescriptions médicales. Cependant, comme de nombreux opérateurs de plateforme, Amazon perçoit plus qu’une simple réduction des frais ; il permet également de récolter des données clients. Dans ce cas, les données disponibles sont très sensibles, notamment des détails et des photographies sur des conditions médicales.

Selon l'enquête du WaPo, Amazon exige que ses clients signent un formulaire donnant à Amazon l'accès au dossier médical d'un patient et l'autorisation de le « divulguer à nouveau », après quoi il « ne sera plus protégé par la HIPAA ».

"Qu'est-ce qui pourrait mal se passer?" » demande l'auteur du WaPo, Geoffrey Fowler. "Il existe de nombreuses façons ignobles pour Amazon d'utiliser vos informations de santé : pour vous vendre d'autres services, pour cibler le marketing de son activité publicitaire géante, ou pour développer une intelligence artificielle ou des modèles de risque pour les patients."

Amazon – ou même les entreprises auxquelles il transmet les données – pourrait également vendre légalement vos données à des tiers dont vous n'avez jamais entendu parler. Cela pourrait potentiellement tomber entre les mains des États, soulevant le spectre, par exemple, de voir les gouvernements des États utiliser le statut de grossesse réel ou suspecté d'une personne pour faire appliquer les lois anti-avortement.

Nous avons déjà vu des États utiliser les données pour poursuivre les cas d’avortements illégaux. L'été dernier, les forces de l'ordre d'utiliser Messages de chat sur Facebook entre une mère et sa fille pour poursuivre une affaire d'avortement organisé illégalement. Cette affaire a été achetée avant que SCOTUS n'annule Roe V Wade et impliquait une violation de la loi de l'État en vigueur basée sur la durée de la grossesse.

Il est temps de mettre à jour la loi 

Amazon a déclaré à WaPo qu'il n'utilisait pas les données des clients à des fins auxquelles les clients n'avaient pas consenti, mais c'est là le point. Les clients renoncent souvent à leur consentement sans lire les contrats aussi bien qu’ils le devraient. Cela est dû en partie au fait que les contrats sont longs et complexes. Dans le cas d'Amazon, le consentement est obligatoire. Soit vous signez, soit vous n'obtenez pas le service. Cela ne serait pas autorisé dans le cadre du règlement de l'UE. Règlement Général de Protection des Données (GRPR), qui interdit explicitement cette pratique.

Dans l’état actuel des choses, la HIPAA est la seule loi fédérale protégeant explicitement les données de santé, mais elle présente des lacunes. Elle s’applique uniquement aux entités couvertes – prestataires de soins de santé et entreprises de santé – et non à d’autres personnes susceptibles de collecter et d’utiliser des données de santé.

Lorsque la HIPAA a été adoptée en 1996, Windows 95 et Amazon.com étaient brillants et nouveaux. Même si la technologie a évolué, la loi n’a pas évolué. La HIPAA n’est plus aussi efficace que nous le souhaiterions dans un monde où les données et métadonnées sensibles sont régulièrement numérisées et livrées au plus offrant. Les États-Unis devraient mettre à jour la législation fédérale sur la protection de la vie privée afin de renforcer ou de fournir une alternative à la HIPAA et à la mosaïque de lois soutenant une plus large protection de la vie privée des consommateurs. Une législation fédérale forte et cohérente sur la protection de la vie privée serait exactement ce que le médecin a ordonné, ainsi qu’un régulateur bien financé pour la faire appliquer.