Français
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
MaisonProtéger la confidentialité des informations de santé : une douzaine de points à retenir des affaires FTC
Au cours des derniers mois, la FTC a annoncé cas après cas impliquant des données sensibles sur la santé des consommateurs, alléguant des violations à la fois de l'article 5 de la loi FTC et de la règle de notification des violations de santé de la FTC. La confidentialité des informations de santé est une priorité pour les consommateurs – et c'est donc une priorité pour la FTC. Entreprises qui collectent ou utilisent des données de santé, soyez à l’écoute. Il existe un certain nombre de messages clés de BetterHelp, GoodRx, Premom, Vitagene et d'autres sujets FTC que vous devez entendre.
Comprendre l’étendue des « informations sur la santé ». Les informations sur la santé ne concernent pas seulement les médicaments, les procédures et les diagnostics. Il s'agit plutôt de tout ce qui transmet des informations – ou permet de déduire – sur la santé d'un consommateur. En effet, Premom, BetterHelp, GoodRx et Flo Health indiquent clairement que le fait qu'un consommateur utilise une application ou un site Web particulier lié à la santé – lié à la santé mentale ou à la fertilité, par exemple – ou la manière dont il interagit avec cette application (disons , activer ou désactiver le « mode grossesse ») peut en soi être une information sur la santé. Nos conseils sur la santé et la localisation mettent en évidence le fait que les données de localisation peuvent transmettre des informations sur la santé. Par exemple, des visites répétées dans un centre de traitement du cancer peuvent transmettre des informations très sensibles sur la santé d'une personne. Pour rester du bon côté de la loi FTC, adoptez une vision large de ce qui constitue les données de santé et protégez-les en conséquence.
Votre obligation de protéger la confidentialité des informations de santé va de soi. Le besoin de protection de la vie privée dès la conception est (ou devrait être !) évident à ce stade, en particulier lorsqu'il s'agit d'informations personnelles sensibles. Si vous collectez ou utilisez des données sur la santé des consommateurs, évaluez et documentez les risques liés à ces données et mettez en œuvre des mesures de protection robustes pour les protéger, telles qu'un programme écrit de confidentialité, une formation et une supervision en matière de confidentialité, ainsi que des limites de conservation, d'objectif et d'utilisation des données. Même si vous ne pensez pas que cela est nécessaire, la FTC peut dire le contraire, comme le montrent les plaintes de BetterHelp et GoodRx. Dans ces actions, la FTC a spécifiquement allégué que le fait que les entreprises ne disposaient pas de politiques et de procédures de confidentialité appropriées avait contribué aux pratiques prétendument déloyales en matière de confidentialité. Pour vous conformer à la loi, associez vos décisions technologiques aux considérations de confidentialité.
N'utilisez pas de technologies de suivi en coulisses qui contredisent vos promesses en matière de confidentialité ou qui nuisent d'une manière ou d'une autre aux consommateurs. Dans l’économie de surveillance actuelle, le consommateur est souvent le produit. Les données des consommateurs alimentent la machine publicitaire qui remonte directement au consommateur. Mais lorsque les entreprises utilisent les données sensibles sur la santé des consommateurs à des fins de marketing et de publicité, par exemple en envoyant ces données à des sociétés de marketing via des pixels de suivi sur des sites Web ou des kits de développement de logiciels sur des applications, faites attention. BetterHelp, GoodRx, Premom et Flo indiquent clairement que de telles pratiques peuvent aller à l'encontre de la loi FTC si elles violent les promesses de confidentialité ou si l'entreprise ne parvient pas à obtenir le consentement exprès et affirmatif des consommateurs pour la divulgation d'informations sensibles sur la santé. GoodRx et Premom soulignent que cette conduite peut également enfreindre la Health Breach Notification Rule, qui exige la notification aux consommateurs, à la FTC et, dans certains cas, aux médias, de la divulgation d'informations sur la santé sans l'autorisation des consommateurs. Besoin de mieux comprendre les implications du suivi ? Consultez les directives de la FTC sur le suivi des pixels et les lettres conjointes FTC-HHS adressées aux hôpitaux et aux prestataires de télésanté pour plus d'informations sur les problèmes de confidentialité liés au suivi.
Ne partagez pas les informations sur la santé des consommateurs de manière inappropriée – et ne les recevez pas non plus. Après des cas comme BetterHelp, GoodRx, Premom et Flo, il est clair que la divulgation non autorisée des informations sur la santé des consommateurs à d'autres entreprises peut mettre l'expéditeur de ces données dans l'eau chaude. Mais, selon les faits, le destinataire de ces données pourrait également être tenu responsable en vertu de la section 5. Si vous recevez des informations d'autres sociétés à des fins de publicité ou de marketing (par exemple), vous pourriez avoir la responsabilité, en vertu de la section 5, de prendre des mesures (telles que que des mesures procédurales et techniques) pour garantir que vous ne vous engagez pas dans la réception, l'utilisation ou la divulgation ultérieure non autorisée d'informations sensibles. Le simple fait d’utiliser un contrat standard ou des conditions d’utilisation prêtes à l’emploi pour interdire l’envoi de certaines informations peut ne pas suffire.