La FTC inflige une amende de 1,5 million de dollars à GoodRx pour avoir envoyé des données sur les médicaments à Facebook

Mercredi, la Federal Trade Commission a pris des mesures historiques contre le service de médicaments à prix réduits GoodRx, infligeant une amende de 1,5 million de dollars à l’entreprise pour avoir partagé des données sur les ordonnances des utilisateurs avec Facebook, Google et d’autres encore. C’est une décision qui pourrait inaugurer une nouvelle ère de confidentialité en matière de santé aux États-Unis.

“Les entreprises de santé numérique et les applications mobiles ne devraient pas tirer profit des informations de santé des consommateurs hautement sensibles et personnellement identifiables”, a déclaré Samuel Levine, directeur du Bureau de la protection des consommateurs de la FTC, dans un communiqué. . “La FTC annonce qu’elle utilisera toute son autorité légale pour protéger les données sensibles des consommateurs américains contre les abus et l’exploitation illégale.”

En plus d’une amende, GoodRx a accepté une disposition unique en son genre qui interdit à l’entreprise de partager des données de santé avec des tiers à des fins publicitaires. Cela n’est peut-être pas surprenant, mais de nombreux consommateurs ne réalisent pas que les lois sur la confidentialité de la santé ne s’appliquent généralement pas aux entreprises qui ne sont pas affiliées à des médecins ou à des compagnies d’assurance. L’ordonnance du tribunal proposée par la FTC doit encore être approuvée par un juge fédéral, mais si c’est le cas, les experts disent qu’elle pourrait améliorer les problèmes chroniques de confidentialité médicale sur Internet.

GoodRx est une entreprise de technologie de la santé qui fournit des coupons gratuits pour des réductions sur des médicaments courants. La société met également les utilisateurs en relation avec des prestataires de soins de santé pour des visites de télésanté. GoodRx a également partagé des données sur les ordonnances que vous achetez et recherchez avec des sociétés de publicité tierces, suscitant la colère de la FTC.

Les problèmes de confidentialité de GoodRx ont été découverts pour la première fois par ce journaliste à une enquête de Consumer Reportssuivi d’un rapport similaire sur Gizmodo. À l’époque, si vous recherchiez du Viagra, du Prozac, de la PrEP ou tout autre médicament, GoodRx le disait à Facebook, Google et diverses sociétés du secteur de la publicité, telles que Criteo, Branch et Twilio. GoodRx ne vend pas les données. Au lieu de cela, il a partagé les informations afin que ces entreprises puissent aider GoodRx à cibler ses propres clients avec des publicités pour plus de médicaments. Selon la FTC, c’est illégal.

GoodRx n’a pas immédiatement répondu à une demande de commentaire.

La FTC a déclaré que GoodRx avait violé une interdiction des pratiques déloyales et trompeuses, car il n’avait pas mentionné qu’il pourrait partager des détails sur les parties les plus sensibles de votre vie avec des entreprises connues pour leurs violations de la vie privée. En fait, la FTC a déclaré que GoodRx avait en fait menti à ses clients en disant qu’il était conforme à la HIPAA. La plainte allègue également que GoodRx a faussement déclaré qu’il suivait les principes énoncés par la Digital Advertising Alliance – un groupe commercial de l’industrie – qui exigent uniquement que les entreprises obtiennent le consentement avant d’utiliser les données de santé pour les publicités.

La FTC ne réglemente pas HIPAA. C’est le champ d’application du département américain de la Santé et des Services sociaux. Au lieu de cela, la commission a déclaré que GoodRx avait violé la Federal Trade Commission Act (qui a créé la FTC en premier lieu). Cette loi interdit les pratiques commerciales déloyales ou trompeuses. Selon la plainte contre GoodRx, partager des informations sur la santé sans en informer vos clients et mentir sur le fait que vous êtes conforme à la loi HIPAA est trompeur et donc illégal.

Cette incursion dans la confidentialité des soins de santé est sans précédent pour plusieurs raisons. La partie la plus importante de la commande est le simple fait qu’elle indique qu’il est illégal pour GoodRx de partager des données de santé à des fins publicitaires. Ça pourrait ressembler à ça évident, mais c’est un geste étonnant.

“Cela pourrait définir un nouveau paradigme pour la manière dont ces informations sont traitées”, a déclaré James Koons, associé fondateur de la société de conseil Data Privacy & Security Advisors. “Il n’y a pratiquement aucune protection pour vos données de santé si elles ne sont pas traitées par une entité couverte par HIPAA. GoodRx est très proche de l’industrie de la santé, mais ils semblent patiner hors de l’étang et s’en éloigner. La FTC empêche cela.”

De nombreuses personnes partagent l’idée fausse commune selon laquelle HIPAA protège leurs informations de santé. Malheureusement pour les fans de confidentialité, non. Fondamentalement, les règles de confidentialité de la santé HIPAA seul s’appliquent aux fournisseurs de soins de santé, aux compagnies d’assurance et à toute personne qui travaille directement pour eux. Une entreprise comme GoodRx n’est pas une entité couverte par HIPAA dans la plupart des cas (la seule exception étant la plate-forme de télésanté de l’entreprise).

Cela peut prêter à confusion, car le type de données de prescription que GoodRx gère est protégé s’il est traité par votre médecin ou votre pharmacien. Et selon la FTC, GoodRx a joué sur cette confusion avec de nombreuses déclarations trompeuses.

Les pratiques GoodRx sont courantes sur le Web. Des enquêtes ont montré que presque tous les sites Web de santé auxquels vous pouvez penser – de WebMD, BetterHelp, même les sites Web d’hôpitaux – utilisent souvent une technologie de suivi des publicités qui divulgue vos informations de santé à l’industrie technologique.

L’ordonnance proposée envoie un signal clair que le statu quo de la publicité médicale peut être illégal.

«Parce que GoodRx est si étroitement lié aux soins de santé, il ne sera pas évident pour tout le monde qu’il ne s’agit pas d’une entité couverte par la HIPAA. Il s’agit d’un coup de crosse pour les entreprises qui traitent des informations sur la santé qui ne sont pas couvertes par la loi HIPAA”, a déclaré Clinton Mikel, associé du cabinet d’avocats Health Law Partners et ancien président d’un groupe de l’American Bar Association sur la santé en ligne et la confidentialité. “La FTC essaie de rappeler à tout le monde qu’ils sont là et qu’ils regardent.”

D’ailleurs, la façon dont la FTC définit les informations sur la santé pourrait changer la donne en soi. Si vous visitez cinq sites Web différents pour essayer d’obtenir un accord sur l’insuline, il y a fort à parier que vous êtes diabétique. Jusqu’à présent, la loi traitait vos recherches sur le Web, l’utilisation d’applications et d’autres détritus de vos informations d’utilisation quotidienne d’Internet de la même manière qu’elle traitait une liste de recettes que vous avez recherchées au dîner hier soir. La FTC essaie de changer cela, ce qui serait une perturbation majeure pour le secteur de la santé si cela fonctionnait.

C’est également la première fois que la commission prend des mesures d’exécution en vertu de sa règle de notification des violations de la santé, qui oblige les entreprises à informer les consommateurs de l’accès non autorisé à leurs dossiers de santé personnels.