La ville de Philadelphie a dû mettre fin à sa relation avec un fournisseur de cliniques de vaccins après avoir modifié sa politique de confidentialité pour dire que les données pourraient être vendues. | Gabriella Audi / AFP via Getty Images

Comment un scandale d’une clinique de vaccination à Philadelphie montre la nécessité de meilleures lois sur la protection de la vie privée en matière de santé.





Lorsque la ville de Philadelphie a annoncé son «partenariat public / privé unique» pour créer une clinique de vaccination de masse avec une organisation à but non lucratif appelée Philly Fighting COVID début janvier, cela a semblé être une bonne chose objectivement. La clinique pouvait vacciner des milliers de personnes par jour, et le site Web de Philly Fighting COVID permettait aux Philadelphiens non encore éligibles de se pré-inscrire pour les vaccins en fournissant leur nom, anniversaire, adresse et profession – ce que la ville a encouragé à faire car elle n’avait pas ‘t fait son propre site de pré-inscription.

Ça n’a pas l’air si beau maintenant. Philadelphie a mis fin au partenariat après qu’il ait été signalé que la société avait changé son statut d’organisme à but non lucratif en à but lucratif, et sa politique de confidentialité pour dire qu’elle pouvait vendre les données de pré-enregistrement que son site avait collectées (Philly Fighting COVID soutient qu’elle n’avait aucune intention de vendre des données et n’a même pas réalisé que la langue était dans sa politique de confidentialité). Maintenant, la ville se démène pour rassurer les habitants sur le fait que leurs données ne seront pas vendues et pour reporter leurs rendez-vous de vaccination avec d’autres fournisseurs. Le procureur du district de Philadelphie et celui de Pennsylvanie procureur général menacent de lancer des enquêtes. Une infirmière de la clinique a accusé le PDG de Philly Fighting COVID d’avoir pris des vaccins inutilisés de la clinique.

La débâcle de Philly Fighting COVID est un récit édifiant sur l’importance de bien contrôler les fournisseurs de soins de santé. C’est aussi un récit édifiant sur l’importance (et l’absence) de protection de la vie privée pour les données de santé sensibles pendant la pandémie de Covid-19.

«Dans tout le pays, nous voyons des gouvernements et leurs sous-traitants privés collecter un grand nombre de nos données liées à Covid, souvent avec des garanties de confidentialité insuffisantes», a déclaré à Recode l’avocat de la Fondation Electronic Frontier, Adam Schwartz. «C’est mauvais pour les efforts de santé publique, qui dépendent de la confiance du public. Il faut faire plus pour sécuriser nos informations privées. »

Les défenseurs de la vie privée sonnent depuis longtemps l’alarme sur la façon dont la réponse à la pandémie peut éroder les libertés civiles, y compris la protection de la santé. Au cours de l’année dernière, de nombreux organismes gouvernementaux ont vanté les partenariats public-privé pour faciliter la recherche des contacts, les tests, la collecte de données et maintenant, la distribution des vaccins. Les entreprises privées se sont mobilisées pour faire ce que les autorités de santé publique n’avaient pas les moyens de faire elles-mêmes. Mais ces efforts ont eu des résultats mitigés et s’accompagnent de problèmes de confidentialité qui menacent de saper la confiance du public – et la santé publique.

En vérité, la société des sciences de la vie appartenant à Alphabet a créé une plate-forme en ligne en mars pour permettre aux gens de s’inscrire à des tests et de recevoir leurs résultats. Mais les utilisateurs avaient besoin d’un compte Google pour utiliser le portail, et ils devaient fournir des informations personnelles (Google appartient également à Alphabet). Les comtés californiens de San Francisco et d’Alameda ont mis fin au programme en octobre en raison de problèmes d’accessibilité et de confidentialité des données, notant que certaines personnes ne voulaient pas donner leurs informations à Google, même si la société avait déclaré que leurs données ne seraient pas partagées sans leur consentement.

En avril, le Dakota du Nord est devenu le premier État à utiliser la recherche de contacts numériques avec son application Care19. Un mois plus tard, une société de logiciels de confidentialité a découvert que l’application envoyait des données à Foursquare via un SDK (Foursquare a déclaré au Washington Post qu’il avait supprimé toutes les données reçues de l’application). L’adoption de la recherche des contacts numériques est restée lente en Amérique, en partie à cause de problèmes de confidentialité.

Et en Floride, certains comtés ont eu recours à Eventbrite pour planifier les rendez-vous pour les vaccins après l’échec de leurs propres sites d’enregistrement ou n’étaient pas prêts à temps. C’est sans doute mieux que de ne pas avoir du tout de système d’enregistrement des vaccins – certains comtés ont forcé les gens à attendre dans les lignes premier arrivé, premier servi pendant des heures – mais Eventbrite ne semble pas avoir de protection spéciale pour les données des titulaires de vaccins (la société n’a pas répondu aux questions de Recode concernant sa gestion des données d’enregistrement des vaccins).

Encore une fois, rien n’indique que ces entreprises aient vendu ou utilisé à mauvais escient des données sur la santé dans ces cas. Le problème est qu’il n’y a pas grand-chose qui les en empêche. La loi HIPAA (Health Insurance Portability and Accountability Act), qui remonte à 1996, ne couvre pas beaucoup de données que beaucoup d’entre nous considèrent comme liées à la santé, et ne couvre pas non plus la plupart des services de santé que nous utilisons actuellement. Et dans certains cas où les données seraient protégées, le gouvernement a accordé des exceptions spéciales aux exigences de conformité HIPAA. Pendant ce temps, nous comptons plus que jamais sur les entreprises privées pour aider à lutter contre la pandémie, car les autorités de santé publique étaient malheureusement mal préparées, manquaient de personnel et de ressources pour le faire elles-mêmes.

Si les gens ne croient pas que leurs données de santé seront protégées, ils peuvent être plus réticents à se faire soigner – ce qui inclut l’obtention d’un vaccin dont beaucoup se méfient déjà et qui nécessite une adoption généralisée pour obtenir l’immunité collective. De meilleures lois sur la protection de la vie privée pourraient rassurer le public sur le fait que ses données de santé seront conservées en sécurité. Malheureusement, l’adoption de ces lois n’a pas suscité beaucoup d’intérêt. L’année dernière, les républicains et les démocrates des deux chambres du Congrès ont proposé des projets de loi sur la protection de la vie privée liés à la pandémie. Aucun d’entre eux n’est allé nulle part, et ils ont rejoint une pile sans cesse croissante de lois sur la protection de la vie privée qui ont échoué.

Peut-être que cette année, avec un nouveau Congrès et une nouvelle administration, les législateurs réessayeront. Peut-être qu’ils passeront quelque chose.

Open Source est rendu possible par Omidyar Network. Tout le contenu Open Sourced est éditorialement indépendant et produit par nos journalistes.