FTC

Nous ne recommandons généralement pas de lire le courrier des autres, mais même si vous ne faisiez pas partie des quelque 130 entreprises qui ont récemment reçu une lettre conjointe de la FTC et du Bureau des droits civils (OCR) du HHS, toute personne travaillant dans le domaine de la santé – les hôpitaux, autres entités couvertes par la HIPAA, les prestataires de télésanté, les développeurs d'applications de santé, etc. – devraient prendre la lettre à cœur et envisager un contrôle de confidentialité et de sécurité dans leur entreprise.

La lettre conjointe alerte les destinataires des risques que les technologies de suivi – notamment le pixel Meta/Facebook et Google Analytics – posent pour la confidentialité et la sécurité des informations personnelles sur la santé des consommateurs. Lorsque les utilisateurs interagissent avec des sites Web ou des applications mobiles, les technologies suivent souvent leurs activités en ligne et collectent des données personnelles à leur sujet. Une grande partie de cela se produit dans les coulisses, les consommateurs ignorant totalement qu'ils sont suivis et incapables d'éviter ce qui se passe.

La nature des données que ces technologies collectent sans le consentement des consommateurs – par exemple, les problèmes de santé, les diagnostics, les médicaments et les visites chez les prestataires de soins de santé – est particulièrement confidentielle. Et une divulgation non autorisée peut entraîner un vol d’identité, des pertes financières, de la discrimination, de la stigmatisation, de l’angoisse mentale et d’autres conséquences préjudiciables.

Vous voudrez peut-être lire la lettre pour connaître le point de vue de l'OCR sur le suivi et les informations personnelles sur la santé, mais voici une phrase qui mérite d'être soulignée : « Les entités réglementées par la HIPAA ne sont pas autorisées à utiliser les technologies de suivi d'une manière qui entraînerait des divulgations non autorisées de PHI à des tiers. ou toute autre violation des règles HIPAA. La lettre cite également un bulletin OCR de décembre 2022 avec un aperçu de la façon dont HIPAA s'applique à l'utilisation des technologies de suivi en ligne.

Mais même si une entreprise n'est pas couverte par la HIPAA, la lettre rappelle qu'elle a toujours des obligations en vertu de la loi FTC et de la règle de notification des violations de santé de la FTC pour se protéger contre les divulgations non autorisées d'informations personnelles sur la santé. Citant les récentes mesures d'application de la loi de la FTC contre Easy Healthcare, BetterHelp, GoodRx et Flo Health, la lettre établit qu'il est « essentiel de surveiller les flux de données d'informations sur la santé vers des tiers via les technologies que vous avez intégrées à votre site Web ou votre application ». Et si vous demandiez à quelqu'un d'autre de concevoir votre site ou votre application ? La responsabilité de la conformité incombe toujours à vous. De plus, votre entreprise est légalement responsable même si vous n'utilisez pas les données obtenues grâce aux technologies de suivi à des fins de marketing.

En plus de souligner que les deux agences surveillent les développements dans ce domaine, la lettre se termine par cet avertissement : « Dans la mesure où vous utilisez les technologies de suivi décrites dans cette lettre sur votre site Web ou votre application, nous vous encourageons fortement à consulter les lois citées. dans cette lettre et prendre des mesures pour protéger la confidentialité et la sécurité des informations sur la santé des individus.

C'est un conseil judicieux pour les entreprises qui ont reçu la lettre commune – ainsi que pour d'autres entreprises.

Consultez d’autres ressources sur la confidentialité en matière de santé de la FTC.

Mots clés: