La Federal Trade Commission a commencé à sévir contre les entreprises de santé numérique pour avoir prétendument partagé des informations sur la santé des consommateurs à des fins publicitaires.
Le mois dernier, l’agence a déclaré que GoodRx avait partagé des informations personnelles sur la santé avec des tiers tels que Google et Facebook. La société, mieux connue pour ses outils de transparence des coûts des médicaments, a accepté de payer une amende de 1,5 million de dollars pour régler l’affaire, mais n’a admis aucun acte répréhensible.
Et pas plus tard qu’hier, la FTC a annoncé une proposition d’ordonnance qui empêcherait la société de thérapie en ligne BetterHelp de divulguer des données de santé à des fins publicitaires, y compris 7,8 millions de dollars en paiements aux consommateurs dont les données ont été partagées. BetterHelp n’a également admis aucun acte répréhensible et a noté qu’il avait fait amende honorable pour des pratiques présumées remontant à plusieurs années.
Scott Loughlin, associé chez Hogan Lovells, qui dirige également la pratique mondiale de confidentialité et de cybersécurité du cabinet d’avocats, s’est entretenu avec MobiHealthActualités pour discuter des mesures d’exécution de l’agence contre GoodRx et de ce que les entreprises de santé numérique devraient apprendre de l’affaire.
Note de l’éditeur : cette interview a été réalisée avant que la FTC n’annonce sa proposition d’ordonnance concernant BetterHelp.
MobiHealthActualités : Quels ont été certains de vos grands plats à emporter de l’action de la FTC contre GoodRx ? Dans votre mémoire, vous l’avez qualifiée de « révolutionnaire ». Selon vous, quels sont les changements les plus révolutionnaires ici ?
Scott Loughlin : Je pense qu’il y avait un certain nombre de choses qui ressortaient de la proposition qui étaient révolutionnaires. Tout d’abord, la FTC est allée et a intentionnellement tenté de combler un vide créé dans le paysage juridique HIPAA. HIPAA s’applique directement à certains types de prestataires de soins de santé et de plans de soins de santé, mais il ne couvre pas de nombreuses organisations qui exploitent et traitent des informations de santé sensibles.
Et ROC [Office for Civil Rights], qui est le principal organisme de réglementation pour l’application de la loi HIPAA, n’a pas compétence sur de nombreux organismes de soins de santé en contact direct avec les consommateurs. Ainsi, lorsque l’OCR a publié des conseils sur la façon dont les entités soumises à la loi HIPAA peuvent appliquer différentes technologies de suivi à leurs systèmes numériques, cela ne s’appliquait pas au nombre d’organisations qui ont des informations sensibles provenant de leurs actifs numériques.
Et la FTC, avec la décision GoodRx, a comblé cet écart et a clairement indiqué que, de son point de vue, les mêmes types de normes s’appliqueront, que vous soyez ou non soumis à la HIPAA.
Donc, l’autre chose qui, à mon avis, était un développement très important, c’est que dans l’ordonnance proposée, il y avait certains domaines qui, selon la FTC, sont attendus de GoodRx à l’avenir, y compris le développement et la mise en œuvre de contrôles complets de la confidentialité.
Ce sont les types de mesures d’exécution que la FTC a appliquées dans le passé en ce qui concerne les problèmes de sécurité. Et c’est un domaine où ils ont appliqué certains des mêmes types de recours et les mêmes types d’obligations que la FTC a utilisés en matière de sécurité, mais maintenant dans le cadre d’une question de confidentialité.
Il s’agit d’un développement important car les obligations qu’ils ont exigées vont de la nécessité de maintenir une politique de confidentialité complète qui s’appliquerait à leur utilisation interne des données à la nomination d’une personne responsable du respect de la confidentialité qui aurait un. une relation hiérarchique directe avec le PDG, allant jusqu’à avoir des contrôles de confidentialité très spécifiques qui soutiendraient la capacité de GoodRx à respecter ses obligations sous-jacentes en matière de confidentialité.
MNH : Avez-vous été surpris de voir cette action d’application de la loi de la FTC, qui, selon eux, est la première fois qu’elle applique la règle de notification des défauts de santé ? Pensez-vous que cela venait sur la base des actions de surveillance et des rapports précédents ?
Loughlin : Sans surprise, la FTC est entrée dans cet espace. Je pense que si vous regardez l’ordonnance, il y a deux domaines notables qu’ils ont appliqués. Le premier est leur pouvoir traditionnel en vertu de l’article 5 de réglementer ou d’interdire les pratiques commerciales déloyales ou trompeuses. C’est un domaine que la FTC a fréquemment appliqué.
Et ce qui est intéressant ici, c’est que, pour la première fois, ils ont appliqué leur autorité de la section 5 en ce qui concerne le suivi Web pour les organisations de soins de santé. Il n’est pas surprenant qu’il s’agisse d’un domaine sur lequel ils se sont penchés, étant donné toute l’attention des médias qui s’est concentrée sur l’utilisation de cette technologie dans les organisations de soins de santé.
CRapports des consommateurs avait publié un article sur GoodRx spécifiquement, puis Le balisage [and STAT] avait identifié plus tôt l’année dernière un certain nombre de professionnels de la santé qui utilisaient différents types de suivi de leurs actifs numériques. C’est le genre de choses qui préoccuperait la FTC en raison de pratiques commerciales déloyales ou trompeuses, en particulier lorsqu’on compare ces pratiques aux déclarations publiques faites par ces entreprises.
La FTC n’a jamais appliqué la deuxième partie, qui tournait autour de la règle de déclaration des défauts de santé. Mais il n’est pas surprenant qu’ils le fassent dans ce cas. Ils avaient laissé tomber un une déclaration publique indiquant qu’ils avaient reçu très peu de rapports d’infractions en vertu de la règle de déclaration de santé et qu’ils soupçonnaient une sous-déclaration.
Donc, ils rappelaient en fait à la communauté des soins de santé ou à la communauté qui est assujettie à ces règlements qu’ils voulaient ces rapports quand ils étaient requis. Je pense que ce cas particulier, même si cela n’aurait pu être fait qu’en vertu du chapitre 5, ils ont profité de cette occasion pour faire passer le message qu’ils sont sérieux au sujet des organisations déclarantes en vertu de la règle de notification des défaillances sanitaires.
MNH : Que pensez-vous que les autres entreprises de santé numérique ou de santé grand public devraient retenir de cette décision à l’avenir ?
Loughlin : Premièrement, faites très attention à ce que vous dites à vos utilisateurs et surtout à la façon dont vous utilisez et divulguez leurs informations de santé. Ne réfléchissez pas étroitement aux informations sur la santé. Dans ce cas, le fait qu’une personne ait recherché des soins ou recherché des services auprès de la plateforme de santé numérique elle-même pourrait être une information liée à la santé. Assurez-vous donc que vos informations sont cohérentes avec vos habitudes.
Deuxièmement, faites attention à la façon dont vous utilisez la technologie de suivi afin de l’utiliser délibérément. Je vois un certain nombre d’exemples, et la décision GoodRx souligne qu’il existe différents groupes au sein des organisations responsables de la mise en œuvre de la technologie de suivi. Et ces groupes diffèrent du respect de la loi et de l’ordre.
L’ordonnance de la FTC exige que GoodRx mette en place une structure de gouvernance, de sorte que les décisions liées à l’utilisation de la technologie de suivi passent par le type traditionnel d’examen juridique ou de conformité. Et c’est quelque chose qui va maintenant faire partie de la procédure d’exploitation standard.
Je pense que la troisième chose est de vraiment examiner vos stratégies de publicité et de marketing basées sur des informations sensibles. Dans cette affaire, GoodRx a été accusé d’avoir utilisé des informations sensibles pour cibler des individus avec différents types de publicités, différents types de drogues et de médicaments.
Et la FTC a déclaré que vous ne pouvez pas faire de publicité ou cibler des personnes utilisant des informations sensibles sans leur consentement préalable. Et par conséquent, c’est une pratique importante pour les organisations de santé numérique de penser à la mise en œuvre dans leurs pratiques.
MNH : Pensez-vous que nous verrons plus d’actions d’application de la loi de la FTC comme celle-ci ?
Loughlin : Oui, je pense que la FTC continuera à être impliquée là-dedans. La FTC n’émet généralement pas de règles et de règlements. Au lieu de cela, ils donneront souvent des instructions. Et ensuite, ils appuieront ces directives avec certains types d’actions d’application, créant presque une loi d’application commune de la FTC, alertant la communauté que c’est l’attente de pratiques commerciales qui ne seraient pas considérées comme injustes ou trompeuses.
Je pense donc qu’il est probable qu’il viendra un moment où les organisations seront obligées d’ajuster leurs pratiques commerciales pour être plus conformes à l’ensemble des attentes de GoodRx. Mais comme la FTC l’a fait avec la sécurité, s’ils voient un comportement cohérent qui, selon eux, viole les principes qu’ils ont énoncés dans GoodRx, vous verrez probablement plus d’application.