Mais l’essor des applications de télésanté et de thérapie à l’ère de la pandémie a alimenté une gamme de produits encore plus controversée : les données sur la santé mentale des Américains. Et le vendre est parfaitement légal aux États-Unis, même à l’insu de la personne ou sans son consentement.
Dans une nouvelle étude publiée lundi, une équipe de recherche de la Sanford School of Public Policy de l’Université Duke décrit à quel point le marché des données sur la santé humaine s’est répandu.
Après avoir contacté des courtiers en données pour savoir quel type de données sur la santé mentale elle pouvait acheter, la chercheuse Joan Kim rapporte qu’elle a finalement trouvé 11 entreprises prêtes à vendre des paquets de données sur les antidépresseurs que les gens prennent, qu’ils souffrent d’insomnie ou de problèmes d’attention. des informations indiquant si , et des descriptions d’autres troubles médicaux, y compris la maladie d’Alzheimer ou des difficultés de contrôle de la vessie.
Certaines données étaient proposées sous forme agrégée permettant à un acheteur de connaître, par exemple, une estimation approximative du nombre de personnes susceptibles d’être déprimées dans un code postal individuel.
Mais d’autres courtiers proposent des données personnellement identifiables, notamment des noms, des adresses et des revenus, y compris un représentant des ventes d’un courtier en données pointant vers des listes de “personnes souffrant d’anxiété” et de “clients souffrant de dépression clinique aux États-Unis”. Certains offrent même un exemple de feuille de calcul.
C’était “un menu de dégustation pour acheter des données sur la santé humaine”, a déclaré Justin Sherman, chercheur principal à Duke qui a dirigé l’équipe de recherche. “Les données de santé sont parmi les données les plus sensibles, et la plupart d’entre nous n’ont aucune idée de la quantité qui est à vendre, souvent pour seulement quelques centaines de dollars.”
La loi sur la portabilité et la responsabilité en matière d’assurance maladie, connue sous le nom de HIPAA, limite la manière dont les hôpitaux, les cabinets médicaux et d’autres “organismes de santé couverts” partagent les données de santé des Américains.
Mais la loi ne protège pas les mêmes données lorsqu’elles sont envoyées ailleurs, permettant aux fabricants d’applications et à d’autres entreprises de partager ou de vendre les données comme ils le souhaitent.
Certains courtiers en données ont proposé des processus formels de plainte des clients et des formulaires de désinscription, a déclaré Kim. Mais les entreprises ne disent souvent pas d’où proviennent leurs données, a-t-il écrit, laissant de nombreuses personnes sans savoir que les courtiers ont collecté leurs données en premier lieu. Il était également difficile de savoir si les applications ou les sites Web offraient à leurs utilisateurs un moyen de ne pas partager de données pour commencer ; De nombreuses entreprises, dans leurs politiques de confidentialité, se réservent le droit de partager des données avec des annonceurs ou d’autres “partenaires” tiers.
Les défenseurs de la vie privée ont mis en garde pendant des années contre le commerce de données non réglementé, affirmant que les informations pourraient être exploitées par des annonceurs ou utilisées à mauvais escient à des fins prédatrices. Les compagnies d’assurance maladie et les responsables de l’application des lois fédérales ont fait appel à des courtiers en données Vérification des dépenses médicales des personnes et poursuivre les immigrés sans papiers.
Les données sur la santé mentale doivent être traitées avec une prudence particulière, a déclaré Sherman, car elles peuvent concerner des personnes dans des situations vulnérables – et si elles sont partagées publiquement ou déformées, les résultats peuvent être dévastateurs.
En 2013, Pam Dixon, fondatrice et directrice exécutive du World Privacy Forum, un groupe de recherche et de plaidoyer, a témoigné Audiences du Sénat qu’une société de marketing pharmaceutique de l’Illinois a publié une liste de “victimes de viol” présumées, avec 1 000 noms à partir de 79 dollars. Entreprise bouger Liste juste après son témoignage.
Aujourd’hui, une décennie plus tard, il craint que le problème des données sur la santé ne se soit aggravé à certains égards, en grande partie à cause de la sophistication croissante avec laquelle les entreprises peuvent collecter et partager les informations personnelles des personnes – non seulement dans des listes définies, mais aussi via des mises à jour, outils de recherche et apprentissage automatique.
« C’est une pratique dégoûtante, et ils le font encore. Nos informations sur la santé font partie du modèle commercial de n’importe qui », a déclaré Dixon. “Ils font des déductions, des scores et des classifications à partir des schémas de votre vie, de vos activités, où vous allez, de ce que vous mangez – et que ne devrions-nous pas faire, les schémas de vie?”
Le nombre d’endroits où les gens partagent leurs données a augmenté grâce à la croissance des pharmacies en ligne, des applications de thérapie et des services de télésanté que les Américains utilisent pour rechercher et recevoir une aide médicale à domicile. De nombreuses applications de santé mentale ont des pratiques de confidentialité douteuses, selon Jane Caltrider, chercheuse à la société de technologie Mozilla. a été analysé Plus de deux douzaines l’année dernière et ont constaté que la “grande majorité” était “extraordinairement horrible”.
Les régulateurs fédéraux ont récemment manifesté un intérêt pour une évaluation plus agressive de la manière dont les entreprises traitent les informations sur la santé des personnes. La Federal Trade Commission a déclaré ce mois-ci qu’elle avait négocié une amende civile de 1,5 million de dollars de la part du service de médicaments sur ordonnance en ligne GoodRx après que la société ait été accusée d’avoir compilé des listes d’utilisateurs pour acheter certains médicaments, notamment le cœur et la tension artérielle, puis de mieux cibler son Facebook. annonces. L’utilisation de ces informations
Un représentant de la FTC a dit Une déclaration a déclaré que “les organisations de santé numérique et les applications mobiles ne devraient pas accepter la signification des informations de santé hautement sensibles et personnellement identifiables des consommateurs”. GoodRx a dit Un communiqué indique qu’il s’agit d’un “vieux problème” lié à une pratique logicielle courante, connue sous le nom de pixels de suivi, qui permet à l’entreprise de “diffuser des annonces d’une manière que nous estimons conforme à la réglementation”.
Après que la Cour suprême a renversé Roe contre Wade L’été dernier, et alors que de plus en plus d’interdictions d’avortement par les États ont ouvert la porte, certains courtiers en données ont cessé de vendre des données de localisation qui pourraient être utilisées pour savoir qui a visité les cliniques d’avortement.
Plusieurs sénateurs, dont Elizabeth Warren (D-Mass.), Ron Wyden (D-Ore.) et Bernie Sanders (I-Vt.), ont soutenu un projet de loi qui renforcerait les autorités étatiques et fédérales contre l’utilisation abusive des données de santé et limiterait la façon dont beaucoup de reproduction. -Les entreprises de technologie de l’information sur la santé peuvent collecter et partager.
Mais l’industrie des courtiers en données reste non réglementée au niveau fédéral, et les États-Unis ne disposent pas d’une loi fédérale complète sur la protection de la vie privée qui établirait des règles sur la manière dont les applications et les sites Web utilisent plus largement les informations des personnes.
deux royaumes, Californie Et Vermont, les entreprises doivent s’inscrire dans un registre de courtiers en données La Californie recense plus de 400 entreprises, dont certaines se disent spécialisées dans les données de santé ou médicales.
Dixon, qui n’était pas impliqué dans la recherche de Duke, a déclaré qu’il espérait que les conclusions et la décision de la Cour suprême serviraient de signal d’alarme sur la façon dont ces données peuvent entraîner des risques réels.
“Il y a littéralement des millions de femmes pour qui le partage, l’échange et la vente d’informations sur des aspects de leur santé pourraient avoir des conséquences criminelles”, a-t-elle déclaré. “Ce n’est pas théorique. C’est ici, maintenant.”