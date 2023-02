GoodRx n’a pas été très bon pour votre vie privée. Et maintenant, la Federal Trade Commission a rédigé une prescription coûteuse : une lourde amende et un accord pour mettre en œuvre diverses protections de la vie privée.

Si vous faites partie des dizaines de millions de personnes qui ont utilisé GoodRx pour trouver de bonnes affaires sur vos médicaments, le site Web et l’application de réduction et de prix des médicaments ont peut-être fait un peu plus que ce que vous aviez prévu : il a envoyé vos données de santé sensibles à les courtiers en données ainsi que les entreprises technologiques comme Meta et Google à utiliser pour la publicité, selon la FTC.

La FTC a annoncé mercredi que GoodRx a accepté de payer une amende de 1,5 million de dollars et de prendre diverses mesures pour s’assurer qu’il ne partage plus de données de santé à des fins publicitaires, qu’il obtient le consentement de l’utilisateur pour partager des données de santé pour d’autres raisons et qu’il fait un s’efforcer d’obtenir des tiers avec lesquels il a précédemment partagé des données qu’ils suppriment ces données. Cette décision montre à quel point la FTC est déterminée à protéger les personnes contre les violations de la vie privée numérique, même si l’Amérique n’a pas de lois fédérales sur la confidentialité qui rendraient ce travail beaucoup plus facile. Cela montre également à quel point certains de ces services, auxquels nous confions nos informations les plus privées, peuvent présenter des fuites.

La FTC allègue que GoodRx a partagé les noms des utilisateurs de médicaments recherchés sur l’application, pour lesquels les utilisateurs de médicaments ont échangé des coupons GoodRx dans les pharmacies et pour quelles conditions ils utilisaient la plate-forme de télésanté de GoodRx pour obtenir un traitement. GoodRx est également accusé d’avoir envoyé des listes, y compris des informations d’identification, d’utilisateurs qui ont acheté certains médicaments à Meta pour ensuite cibler ces utilisateurs avec des publicités liées aux conditions que GoodRx savait qu’ils avaient.

“Les entreprises de santé numérique et les applications mobiles ne devraient pas profiter des informations de santé extrêmement sensibles et personnellement identifiables des consommateurs”, a déclaré Samuel Levine, directeur du Bureau de la protection des consommateurs de la FTC, dans un communiqué. “La FTC notifie qu’elle utilisera toute son autorité légale pour protéger les données sensibles des consommateurs américains contre les abus et l’exploitation illégale.”

Certaines des pratiques de GoodRx ont été exposées pour la première fois en février 2020 par des rapports de Consumer Reports et de Gizmodo, qui détaillaient comment les données des utilisateurs étaient envoyées à des tiers. À l’époque, GoodRx s’est excusé, a déclaré que les données n’étaient pas utilisées pour cibler les publicités et a mis en place certains contrôles de confidentialité. Cela semblait être la fin, car GoodRx opère dans une zone grise de confidentialité numérique. Bien qu’il puisse collecter les mêmes données que les pharmacies, les médecins et les compagnies d’assurance maladie, dans la plupart des cas, il n’est pas soumis aux mêmes lois sur la confidentialité de la santé – à savoir, HIPAA, la loi sur la portabilité et la responsabilité de l’assurance maladie. Même lorsque HIPAA ne s’appliquait pas à GoodRx, la FTC affirme que la société a donné aux utilisateurs l’impression qu’elle l’a fait en mettant une petite icône “HIPAA” sur son site Web.

Même les entités couvertes par la HIPAA semblent avoir du mal à empêcher que les informations des patients ne tombent entre les mains des courtiers en données et des annonceurs. Mais au moins, il y a un recours légal s’ils violent cette loi. Cependant, les violations de la loi HIPAA ne relèvent pas de la compétence de la FTC – elles relèvent du Bureau des droits civils du Département de la santé et des services sociaux.

Lorsque des sites Web et des applications collectent et gèrent mal des données de santé qui ne sont pas couvertes par la HIPAA, cela pourrait être un travail pour le bras de protection des consommateurs de la FTC. Lorsque l’application de suivi des règles Flo Health a envoyé des informations sur la fertilité des utilisateurs à des courtiers en données malgré les promesses de ne pas le faire, la FTC a poursuivi l’entreprise pour avoir trompé les utilisateurs. La FTC est également au milieu d’un procès pour actes déloyaux ou trompeurs contre Kochava, un courtier en données que l’agence a accusé de rendre facilement accessibles les données de localisation personnellement identifiables et sensibles des personnes qui pourraient causer un préjudice substantiel, alors que ces personnes n’ont aucun moyen de savoir que leurs données sont collectées ou utilisées de cette manière, sans parler de la manière de les arrêter.

Avec GoodRx, les choses sont un peu différentes, car la FTC utilise une règle qu’elle n’a jamais invoquée auparavant. La règle de notification des atteintes à la santé exige des fournisseurs de dossiers de santé personnels qui ne sont pas couverts par la loi HIPAA qu’ils informent les consommateurs si leurs données ont été consultées par un tiers sans l’autorisation des consommateurs. C’est dans les livres depuis 2009, mais la FTC ne l’a jamais appliqué jusqu’à présent. L’agence a signalé qu’une telle décision se produirait en 2021, lorsqu’elle a averti les applications de santé et les appareils connectés qu’ils devaient obtenir la permission de leurs utilisateurs avant de divulguer leurs données de santé à des tiers.

Il s’agissait à la fois d’une clarification de la règle et d’un avertissement indiquant que la FTC était prête et désireuse de l’appliquer. Maintenant, il a mis à exécution cette menace pour la première fois. Ce ne sera probablement pas le dernier, compte tenu de l’engagement déclaré de la présidente de la FTC, Lina Khan, en faveur de la confidentialité des données et de la nature notoirement fuyante des applications et des sites Web. Mais cela devrait inciter certaines de ces entreprises à faire un effort pour mieux sécuriser les données de santé de leurs utilisateurs ou leur expliquer plus clairement comment et pourquoi elles sont partagées avec quelqu’un d’autre, de peur que le marteau ne s’abatte également sur elles.

GoodRx a déclaré dans un communiqué que son règlement avec la FTC portait sur un “vieux problème” qu’il “a résolu il y a près de trois ans, avant le début de l’enquête de la FTC”. Il dit qu’il a conclu le règlement pour éviter des litiges coûteux et n’est pas d’accord avec la façon dont la FTC a appliqué la règle Health Breach.

“Nous ne sommes pas d’accord avec les allégations de la FTC et nous n’admettons aucun acte répréhensible”, a déclaré GoodRx. “[W]Nous avons utilisé les technologies des fournisseurs pour faire de la publicité d’une manière qui, selon nous, était conforme à toutes les réglementations applicables et qui reste une pratique courante sur de nombreux sites Web de santé, de consommation et gouvernementaux.

La nouvelle ordonnance de la FTC doit être approuvée par un tribunal fédéral avant d’entrer en vigueur. En supposant que ce soit le cas, l’amende de 1,5 million de dollars ne tuera pas GoodRx, qui a déclaré des revenus de 745,42 millions de dollars en 2021, l’année la plus récente pour laquelle ces données sont disponibles. Mais ce n’est pas rien non plus; malgré près de trois quarts de milliard de dollars, GoodRx a terminé l’année avec une perte nette de 25,25 millions de dollars. Il y a aussi les coûts supplémentaires liés à la mise en place de toutes les mesures de conformité requises par la FTC par commande, ainsi que les revenus perdus par GoodRx du fait que les utilisateurs décident de faire affaire ailleurs parce qu’ils ne font pas confiance à GoodRx pour conserver leurs données. privé.

Les consommateurs paient aussi. Pour certains d’entre eux, GoodRx a divulgué leurs informations les plus sensibles alors qu’ils étaient les plus vulnérables : à la recherche d’un moyen d’obtenir des médicaments qu’ils n’auraient pas pu se permettre autrement. Ils ne seront peut-être pas aussi rapides à utiliser les applications de réduction de médicaments à l’avenir, maintenant qu’ils savent qu’au moins l’un d’entre eux a envoyé ces données à Facebook.

Mise à jour, 12 h 10 HE : Cette histoire a été mise à jour pour inclure la déclaration de GoodRx.