Les applications de santé doivent informer leurs utilisateurs de toute violation de données ou risquer une lourde amende, a précisé la Federal Trade Commission dans une déclaration de politique la semaine dernière. La règle qui exige cette transparence date d'une décennie, mais elle n'a jamais été appliquée auparavant. La nouvelle directive sert d'avertissement aux nombreuses entreprises qui se lancent dans l'espace des applications de santé : la FTC prend au sérieux les problèmes liés à la confidentialité des données de santé, même si elle ne sera pas en mesure de remédier à elle seule à toutes les lacunes en matière de confidentialité.
La règle de notification des atteintes à la santé de la FTC couvre toutes les organisations qui ne sont pas soumises à la loi HIPAA (Health Insurance Portability and Accountability Act), qui couvre des choses comme les médecins et les compagnies d'assurance. HIPAA exige que ces groupes divulguent chaque fois qu'ils ont une violation de données. La règle de la FTC couvre tout autre groupe qui traite de l'information sur la santé.
Les applications de santé n'ont souvent pas eu de protections solides en matière de confidentialité des données, a déclaré la présidente de la FTC, Lina Khan, dans un communiqué sur la règle. Les applications ont souvent des systèmes de protection des données médiocres ou violent leurs propres politiques de confidentialité en partageant des données avec des groupes externes sans en informer les utilisateurs. Ces applications ne faisaient pas partie du tableau de la santé numérique lorsque la règle a été écrite pour la première fois. Mais depuis lors, il y a eu une explosion des applications de santé – des dizaines de milliers sont publiées chaque année et les téléchargements ont augmenté pendant la pandémie de COVID-19. De plus en plus de personnes confient leurs informations de santé à ces produits. Les nouvelles directives précisent que la règle de notification des atteintes à la santé s'applique également à ces plates-formes, même si elles ne pensaient pas qu'elles les couvraient auparavant.
Les violations qui pourraient déclencher un rapport ne comprennent pas seulement les piratages ou les attaques. Ces organisations devraient divulguer toute information partagée sans la permission des utilisateurs. Cela pourrait s'appliquer à des situations telles que la récente violation de la vie privée par l'application de suivi des périodes Flo, qui partageait des données avec Facebook, Google et des sociétés de marketing à l'insu des utilisateurs. La FTC n'a pas cité Flo pour avoir enfreint la règle de notification des atteintes à la santé – elle s'est concentrée sur de fausses déclarations faites par l'entreprise au sujet de ses politiques de confidentialité – mais deux membres de la FTC ont fait valoir qu'elle aurait dû.
Le nouvel objectif de la FTC visant à s'assurer que les entreprises respectent la règle pourrait déclencher des changements internes dans les applications de santé, a déclaré David Simon, chercheur au Petrie-Flom Center for Health Law Policy, Biotechnology, and Bioethics de la Harvard Law School. “Cela va les obliger à au moins mettre en place des systèmes, s'ils ne le sont pas déjà, pour savoir quand ces violations se produisent et ensuite informer les gens”, explique Simon. La règle stipule que les groupes doivent signaler toute violation de données dont ils auraient dû avoir connaissance, et pas seulement ce qu'ils connaissent – ils doivent donc avoir des moyens de surveiller les données.
“il est dans votre intérêt si vous êtes un développeur d'applications ou un fournisseur d'une plate-forme connectée que vous fassiez attention à cette règle”
Les pénalités pour infraction à la règle sont assez importantes : 43 792 $ par infraction par jour. “Cela peut s'additionner très rapidement”, explique Jennifer Wagner, professeure adjointe de droit, de politique et d'ingénierie à l'Université d'État de Pennsylvanie. « Je pense qu'ils essaient de signaler que : « écoutez, il est dans votre meilleur intérêt si vous êtes un développeur d'applications ou un fournisseur d'une plate-forme connectée que vous prêtiez attention à cette règle et que vous ayez une sorte de mécanisme de réponse. en place.'”
La règle de la FTC informera les utilisateurs en cas de violation de données, mais elle ne peut pas résoudre tous les problèmes de confidentialité des données autour des applications de santé. Cela ne limite pas ce que les entreprises peuvent faire avec les données des utilisateurs ; il dit simplement qu'ils doivent dire aux utilisateurs ce qu'ils font. “C'est une sorte de transparence, mais cela a des limites”, dit Simon. Certains experts soutiennent que les utilisateurs devraient avoir un contrôle plus actif sur la manière dont les applications peuvent utiliser et partager des données en premier lieu. Cependant, la FTC n'a pas le pouvoir d'apporter ces changements. “Je ne pense pas qu'il ait les outils pour faire tout ce qu'il aimerait faire”, dit Simon.
La règle de la FTC est également limitée aux produits de santé numériques qui traitent des informations sur la santé. Dernièrement, cependant, il est devenu clair que des plateformes non spécifiquement conçues pour la santé peuvent en fait être utilisées à cette fin : un groupe de soutien Facebook pour les survivantes du cancer du sein, par exemple, peut ne pas être considéré comme un dossier médical, mais il collecte des informations qui pourraient être utilisées. pour en savoir plus sur la santé des membres, dit Wagner. S'il y avait une violation de données sur cette plate-forme, elle ne serait pas nécessairement soumise à la règle. “Ce que la FTC peut faire avec la terminologie est quelque peu limité, même si elle essaie certainement de faire tout ce qu'elle peut”, dit-elle.
Malgré les limitations, les conseils viennent également alors que le paysage plus large autour de la protection des données évolue pour donner aux gens plus de contrôle sur leurs informations. Le Congrès, les États et les procureurs généraux accordent une attention croissante à la confidentialité des données, dit Wagner. Les entreprises y prêtent attention, et la décision de la FTC est une nouvelle pièce de ce puzzle. «Ils doivent réfléchir aux mesures qu'ils peuvent prendre et anticiper, car cet espace réglementaire ne va pas disparaître», dit-elle.