Pour les consommateurs, ont déclaré des experts de l’industrie de la santé, le changement offre plus de confidentialité, mais pourrait également rendre plus difficile la recherche de soins primaires, de santé mentale et d’autres services médicaux en ligne.
“Les équipes juridiques et de conformité … disent à l’équipe marketing que ces outils sont des hommes morts qui marchent, vous devez les éteindre immédiatement”, a déclaré Ray Mina, responsable du marketing chez Freshpaint, une entreprise de San Francisco qui fournit des logiciels aux entreprises de soins de santé pour gérer les données marketing des clients.
La toile de fond de cette nouvelle préoccupation est une tendance croissante des Américains à recevoir des informations ou des services à partir d’applications de santé mentale, de services de télésanté et de sites Web d’hôpitaux. Les gens ne savent peut-être pas que ces services capturent des informations personnelles détaillées qui sont ensuite utilisées à des fins de marketing et de publicité.
Maintenant, alors que les régulateurs fixent de nouvelles limites sur la façon dont ces données sont utilisées et partagées, Mina a déclaré que les clients ont submergé son entreprise de questions sur les données qu’elle collecte et avec qui elle les partage. Freshpaint doit donc s’assurer qu’il ne va pas à l’encontre des régulateurs.
C’est un changement sismique pour l’industrie qui se joue dans les chiffres.
Au cours des trois premiers mois de 2023, les entreprises de télémédecine ont dépensé un quart de ce qu’elles ont fait pour des publicités ciblées sur Facebook et Google au cours de la même période l’année dernière, selon les données de MediaRadar, une plateforme de renseignement sur l’industrie publicitaire. Pendant ce temps, les données de MediaRadar montrent que les systèmes de santé à but non lucratif ont également réduit de moitié leurs dépenses en publicités ciblées au cours de cette même période de trois mois d’une année sur l’autre.
HIPAA et ses limites
Jusqu’à récemment, une grande partie des données de santé en ligne – recueillies lors de recherches, par des sites Web, des applications et des appareils portables – était considérée comme ne relevant pas de la compétence du gouvernement. La loi fédérale sur la confidentialité des données de santé, HIPAA, ne couvre que les données des patients collectées par les assureurs et les prestataires de soins de santé, comme les médecins ou les hôpitaux.
La collecte de données que les consommateurs laissent en ligne et leur utilisation pour commercialiser des produits est un mécanisme clé pour atteindre les clients dont les dirigeants s’inquiètent désormais.
L’année dernière, les législateurs ont proposé une vaste législation sur la confidentialité des données, mais le Congrès ne l’a pas adoptée. Les agences du HHS à la FTC tentent de toute façon d’étendre la protection des données, arguant que les autorités existantes leur donnent le pouvoir de le faire, même si elles n’ont pas utilisé ces autorités pour protéger largement les données de santé dans le passé.
Le Bureau des droits civils du HHS a surpris les assureurs et les prestataires de soins de santé en décembre lorsqu’il a publié un bulletin élargissant sa définition des informations de santé personnellement identifiables et restreignant l’utilisation de certaines technologies de marketing.
Le bureau a averti que les entités couvertes par la HIPAA ne sont pas autorisées à divulguer gratuitement des données protégées par la HIPAA aux fournisseurs ou à utiliser une technologie de suivi qui entraînerait des divulgations «inadmissibles» d’informations de santé protégées.
Ces données protégées peuvent inclure des adresses e-mail, des adresses IP ou des informations de localisation géographique pouvant être liées à un individu, sous HHS, âgé de 22 ans. Règle de confidentialité HIPAA.
“Nous voyons des gens entrer et taper des symptômes, mettre des informations, et ces informations sont divulguées d’une manière incompatible avec HIPAA et utilisées pour potentiellement suivre des personnes, et c’est un problème”, a déclaré le HHS Office for Civil Rights. La directrice Melanie Fontes Rainer au sommet de l’Association internationale des professionnels de la vie privée à Washington ce mois-ci.
Pendant ce temps, en février, la Federal Trade Commission a déclaré qu’elle avait infligé une amende de 1,5 million de dollars au site de remise sur ordonnance et au fournisseur de télésanté GoodRx pour avoir partagé des données clients avec Google, Facebook et d’autres entreprises.
Le pouvoir principal de la FTC lui permet de contrôler les pratiques “déloyales et trompeuses” et GoodRx avait dit aux clients qu’il ne partagerait pas leurs données et les a induits en erreur en leur faisant croire que leurs dossiers étaient en sécurité en vertu de la loi HIPAA, a déclaré l’agence.
Mais la FTC a également cité une violation de sa règle de notification de violation de la santé, qui stipule que les entités non couvertes par la HIPAA qui collectent des informations de santé personnellement identifiables doivent informer les consommateurs en cas de violation de leurs données. L’agence n’avait jamais utilisé la règle, qui était auparavant considérée comme un outil d’application de la cybersécurité, comme un bâton à utiliser contre les entreprises qui partageaient sciemment des données clients avec des partenaires commerciaux.
L’agence a déclaré s’attendre à une application similaire et a infligé le mois dernier une amende de 7,8 millions de dollars au fournisseur de thérapie en ligne BetterHelp pour avoir partagé les données des clients après avoir dit aux patients que ce ne serait pas le cas.
“Les entreprises qui pensent qu’elles peuvent tirer profit des données de santé des consommateurs parce que HIPAA ne s’applique pas devraient réfléchir à nouveau”, a déclaré Samuel Levine, directeur du Bureau de la protection des consommateurs de la FTC. “Nos actions récentes contre GoodRx et BetterHelp montrent clairement que nous sommes prêts à utiliser tous les outils pour protéger la confidentialité de la santé des Américains et tenir pour responsables ceux qui en abusent.”
Dans les deux cas, la FTC a demandé aux entreprises de modifier leurs pratiques de protection des données et de cesser de partager les informations sur les clients. Les deux sociétés ont réglé leurs cas, mais ont nié les actes répréhensibles.
GoodRx a déclaré dans un communiqué qu’il “avait utilisé des technologies de fournisseurs pour faire de la publicité d’une manière qui, selon nous, était conforme à toutes les réglementations applicables et qui reste une pratique courante sur de nombreux sites Web de santé, de consommation et gouvernementaux”.
BetterHelp a déclaré dans un communiqué qu’il était accusé d’utiliser “des informations limitées et cryptées pour optimiser l’efficacité de nos campagnes publicitaires afin que nous puissions diffuser des publicités plus pertinentes et atteindre les personnes susceptibles d’être intéressées par nos services”.
La société a suggéré qu’elle avait été injustement pointée du doigt, car “cette pratique standard de l’industrie est couramment utilisée par certains des plus grands prestataires de soins de santé, systèmes de santé et marques de soins de santé”.
Tout le monde, des fournisseurs de télésanté en ligne aux principaux systèmes hospitaliers, en prend note.
“Ils examinent tout ce qui ressemble à une opération de marketing qui se trouve sur leur site Web et ils s’en retirent jusqu’à ce qu’ils obtiennent plus de conseils du HHS”, a déclaré Anna Rudawski, associée du cabinet d’avocats Norton Rose Fulbright qui conseille les organismes de santé sur la protection des données.
Mesurer les retombées
Les défenseurs de la confidentialité des données exhortent les régulateurs à continuer, arguant que les informations sur la santé méritent des protections spéciales et que l’application doit évoluer maintenant que le monde est passé en ligne. Ils s’attendent à ce que les entreprises puissent s’adapter.
“La publicité n’a pas besoin de porter atteinte à la vie privée pour être utile ou efficace”, a déclaré Cobun Zweifel-Keegan, directeur général du bureau de Washington de l’International Association of Privacy Professionals.
Et l’industrie ne présente guère de front uni en réponse.
Lartease Tiffith, vice-président exécutif pour la politique publique au Bureau de la publicité interactive, un groupe commercial pour les entreprises de publicité en ligne, par exemple, a déclaré que les récentes mesures d’application ciblent les entreprises qui ont explicitement déformé leurs politiques de confidentialité des données en ne disant pas aux clients qu’elles partageaient des informations sur avec des tiers.
“Si vous dites aux consommateurs que nous n’allons pas faire X, et que vous faites X, c’est un problème”, a-t-il déclaré. “Je ne pense pas que cela ait quoi que ce soit à voir avec notre industrie.”
Mais certains cadres de la santé n’en sont pas si sûrs. “C’est la raison pour laquelle mon PDG ne peut pas dormir la nuit”, a déclaré un avocat d’une société de télésanté à qui POLITICO a accordé l’anonymat afin de ne pas attirer l’attention sur son client.
Rudawski a déclaré que les organisations de soins de santé averses au risque cessent de faire de la publicité avec les principales plateformes comme Google et Facebook jusqu’à ce que le nouvel environnement réglementaire soit plus clair.
Et Brett Meeks, directeur exécutif de la Health Innovation Alliance, qui représente les fournisseurs, les assureurs et d’autres sur les questions de technologie de la santé, a déclaré que les systèmes de santé veulent suivre les règles, mais n’étaient pas préparés aux changements brusques de politique. “Il est difficile de suivre des règles qui changent sans préavis”, a-t-il déclaré.
D’autres peuvent essayer d’éviter les amendes et les recours imposés à GoodRx et BetterHelp avec une action préventive.
Le fournisseur de télésanté en ligne Cerebral, qui fait l’objet d’une enquête fédérale pour avoir prétendument surprescrit des substances contrôlées et, semble-t-il, pour violation de la vie privée réglementations, a récemment déposé une notification de violation de données auprès du HHS, citant ses directives de décembre.
«Cérébral a déterminé que il avait divulgué certaines informations qui peuvent être réglementées en tant qu’informations de santé protégées en vertu de la HIPAA à certaines plates-formes tierces et à certains sous-traitants sans avoir obtenu les assurances requises par la HIPAA », a déclaré la société dans l’avis, qu’elle a également envoyé à 3,18 millions de patients et autres qui ont visité son site Web ou utilisé son application.
Dans le même temps, la société a déclaré à ses clients qu’elle n’avait rien fait d’inhabituel en suivant leurs clics et en partageant ces informations avec d’autres entreprises, qualifiant cela de pratique courante “dans de nombreux secteurs, y compris les systèmes de santé, les fournisseurs traditionnels de briques et de mortier et d’autres services de télésanté”. entreprises.”
Dans un communiqué, Cerebral a déclaré que les nouvelles directives du HHS marquaient un changement radical pour l’industrie des soins de santé, car elles stipulaient que «toutes les données – y compris la soumission des informations de contact de base des utilisateurs – recueillies à partir du site Web ou de l’application d’une entité de soins de santé doivent être traitées comme [protected health information]» sous HIPAA.
Un certain nombre d’autres organisations de soins de santé qui n’étaient pas connues auparavant pour être dans le viseur des régulateurs ont également soumis des rapports de violation cette année, reconnaissant que les trackers Web qu’ils avaient employés avaient collecté des données sur les patients. Hôpital presbytérien de New York, UC San Diego Santé et récupération d’alcool entreprise de télésanté Monument déposé des rapports de violation le mois dernier ; Brooks Rehabilitation l’a fait en janvier.
D’autres entreprises encore adoptent une approche attentiste, espérant plus de conseils de la part de la FTC et du HHS.
Un cadre d’une entreprise de télésanté, qui s’est exprimé sous couvert d’anonymat afin de ne pas attirer l’attention sur son entreprise, a déclaré qu’il ne contestait pas les actions de la FTC ou les directives du HHS, mais craignait que cela ne conduise à une confidentialité plus restrictive. conseils qui interfèrent directement avec les pratiques publicitaires standard.
«Cela créerait soudainement de véritables défis pour les entreprises pour commercialiser leurs services, et si leur entreprise fait quelque chose de bien dans le monde, vous voulez que leurs services soient commercialisés. Alors, comment équilibrez-vous? Il a demandé.
