Dans le cadre d’une application unique en son genre, la Federal Trade Commission a imposé une amende de 1,5 million de dollars au fournisseur de télésanté et de rabais sur les médicaments sur ordonnance GoodRx Holdings Inc. pour avoir partagé les données de santé personnelles des utilisateurs avec Facebook, Google et d’autres tiers sans leur consentement. .
Dans le cadre d’un règlement, GoodRx, basé en Californie, a également accepté qu’il lui soit interdit de partager à l’avenir les données de santé des utilisateurs avec des tiers à des fins publicitaires, a déclaré la FTC. GoodRx n’a admis aucun acte répréhensible et a déclaré dans un article de blog qu’il a réglé « pour éviter le temps et les dépenses d’un litige prolongé ». L’accord est en attente d’approbation par la Cour fédérale.
Les défenseurs de la protection des consommateurs ont salué l’annonce de mercredi comme un changement potentiel qui pourrait sérieusement réduire un phénomène peu connu : le trafic de données de santé sensibles par des entreprises non strictement classées comme prestataires de soins de santé.
« Les entreprises de santé numérique et les applications mobiles ne devraient pas profiter des informations de santé extrêmement sensibles et personnellement identifiables des consommateurs », a déclaré Samuel Levine, chef du Bureau de la protection des consommateurs de la FTC, dans un communiqué. « La FTC notifie qu’elle utilisera toute son autorité légale pour protéger les données sensibles des consommateurs américains contre les abus et l’exploitation illégale. »
L’application est la première en vertu d’une loi de 2009, la Health Breach Notification Rule, qui s’applique aux fournisseurs de dossiers de santé personnels et aux fournisseurs connexes non couverts par la HIPAA, les règles fédérales de confidentialité qui régissent l’industrie des soins de santé,
Cela survient trois ans après que Consumer Reports a découvert que GoodRx partageait les renseignements personnels sur la santé des gens avec plus de 20 entreprises. « Les gens nous ont dit qu’ils ne s’attendaient pas à ce que leurs informations sensibles soient partagées avec Google et Facebook », a déclaré mercredi Marta Tellado, présidente et chef de la direction de Consumer Reports. « C’est une victoire pour les consommateurs, et cela pourrait avoir un effet profond sur la façon dont nos informations de santé sont gardées privées à l’avenir. »
Dans une plainte légale déposée au nom de la FTC, les avocats du ministère de la Justice ont déclaré que les actions de GoodRx avaient « injustement enrichi » l’entreprise au détriment des utilisateurs – de nombreux souffrant de problèmes de santé chroniques – qui pourraient faire face à « la stigmatisation, l’embarras ou la détresse émotionnelle » ainsi que discrimination si les faits qu’elle partage étaient divulgués.
GoodRx a déclaré que les préoccupations de la FTC avaient été «traitées de manière proactive» il y a près de trois ans, avant le début de l’enquête de la FTC.
Justin Brookman, directeur de la politique technologique chez Consumer Reports, a déclaré qu’il pensait que l’enquête de la FTC avait commencé après le rapport de son organisation du 25 février 2020. Avant cela, le gouvernement a déclaré: «GoodRx n’avait pas suffisamment de politiques formelles, écrites ou standard de confidentialité ou de partage de données ou de programmes de conformité en place. Et, même après que les pratiques de GoodRx ont été révélées, il n’a pas informé les utilisateurs que leurs informations de santé avaient été divulguées sans leur autorisation.
La porte-parole de la société, Lauren Casparis, a déclaré par e-mail que GoodRx « a utilisé les technologies des fournisseurs pour faire de la publicité d’une manière qui, selon nous, était conforme à toutes les réglementations applicables et qui reste une pratique courante sur de nombreux sites Web ».
Ces technologies comprenaient des balises Web intégrées appelées «pixels» et d’autres outils de suivi et de collecte de données d’entreprises telles que Google et Facebook, a déclaré le gouvernement.
« Ils ont mis des pixels sur leur site », a déclaré Brookman de Consumer Reports par téléphone. « Ils n’ont pas à faire ça. »
Dans un communiqué, Brookman a déclaré que « les applications et les sites Web de santé divulguent nos données personnelles depuis des années sans conséquence. Cette affaire devrait être un tournant – les entreprises doivent maintenant comprendre que le partage des données des clients sans autorisation claire entraînera des enquêtes et des amendes.
Sur son site Web, GoodRx affirme avoir aidé les consommateurs à économiser plus de 45 milliards de dollars depuis 2011.
La FTC a déclaré que plus de 55 millions de consommateurs avaient visité le site Web ou les applications mobiles de GoodRx depuis janvier 2017. Elle a déclaré que la société recueillait des informations personnelles et de santé auprès de ses utilisateurs et des gestionnaires de prestations pharmaceutiques – les sociétés qui gèrent les prestations de médicaments sur ordonnance – qui confirment quand l’un des ses coupons ont été utilisés lors d’un achat.
La FTC a déclaré dans un communiqué de presse que GoodRx « a trompeusement promis à ses utilisateurs qu’il ne partagerait jamais d’informations personnelles sur la santé avec des annonceurs ou d’autres tiers » tout en partageant des informations sur leurs ordonnances et leurs conditions de santé avec des sociétés et des plateformes de publicité tierces, notamment Facebook, Google et Criteo. Ce processus a aidé GoodRx à cibler des publicités personnalisées sur Facebook et Instagram et d’autres plateformes, a déclaré la FTC.
D’autres dispositions de l’ordonnance proposée par le tribunal fédéral obligent GoodRx à ordonner aux tiers avec lesquels il a partagé des données sur la santé des consommateurs de les supprimer et d’en informer les consommateurs.
La porte-parole de GoodRX, Casparis, a déclaré que la société estimait que « les exigences détaillées dans le règlement n’auront aucun impact significatif sur nos activités ou sur nos opérations actuelles ou futures ».