La pharmacie en ligne GoodRx a accepté de payer 1,5 million de dollars de sanctions civiles pour des années de partage des informations de santé des consommateurs avec des tiers comme Facebook, Google et Criteo à des fins publicitaires, a annoncé mercredi la Federal Trade Commission.
Dans une plainte déposée devant un tribunal fédéral de Californie, la FTC a accusé le géant de la santé et de la télémédecine de ne pas avoir informé les consommateurs que leurs informations personnelles sur la santé – collectées lors de l’utilisation de son site Web et de ses services – seraient partagées avec des tiers.
La FTC a déclaré que GoodRx « a trompeusement promis à ses utilisateurs qu’il ne partagerait jamais d’informations personnelles sur la santé avec des annonceurs ou d’autres tiers », mais « a violé cette promesse à plusieurs reprises », notamment en monétisant les données qu’il a collectées pour cibler ses propres utilisateurs avec des soins de santé et des médicaments ciblés. -annonces spécifiques. La FTC a déclaré que GoodRx le faisait «depuis des années».
TechCrunch a contacté GoodRx pour un commentaire et il a répondu :
« Chez GoodRx, la protection de la vie privée de nos utilisateurs est l’une de nos priorités les plus importantes. Nous sommes réfléchis et disciplinés quant aux informations que nous recueillons et comment et pourquoi nous les utilisons. Le règlement avec la FTC se concentre sur un vieux problème qui a été résolu de manière proactive il y a près de trois ans, avant le début de l’enquête de la FTC », a déclaré un porte-parole. « Nous ne sommes pas d’accord avec les allégations de la FTC et nous n’admettons aucun acte répréhensible. La conclusion du règlement nous permet d’éviter le temps et les dépenses d’un litige prolongé. Nous pensons que les exigences détaillées dans le règlement n’auront aucun impact significatif sur nos activités ou sur nos opérations actuelles ou futures. Vous pouvez lire plus de la réponse ici.
Il s’agit de la première mesure d’exécution prise en vertu de la règle de notification des atteintes à la santé de la FTC – une directive vieille de dix ans qui n’avait pas été utilisée jusqu’à aujourd’hui.
GoodRx est un excellent exemple de la façon dont les règles pourraient être enfreintes, mais avec la prolifération des services de santé en ligne ces dernières années – qui a notamment pris de l’ampleur avec l’arrivée de la pandémie de COVID-19 – il y a des signes que nous pourrions commencer à voir plus d’application de la règle.
La FTC a averti aussi récemment qu’en 2021 (et a présenté cet avertissement plus formellement il y a un an) que la règle s’applique également aux développeurs d’applications et aux fabricants d’appareils de fitness, et qu’elle prendrait des mesures contre les entreprises qui ne diraient pas aux consommateurs que leurs données de santé seraient être partagées pour la publicité ou l’analyse des utilisateurs.
La règle est particulièrement importante compte tenu du fait que de plus en plus de services de santé sont mis en ligne. La semaine dernière, Amazon a lancé RxPass, un module complémentaire Prime qui permet aux gens de remplir toutes leurs ordonnances pour un ensemble de conditions en utilisant des médicaments génériques sur ordonnance pour un tarif mensuel fixe. TechCrunch a contacté Amazon pour spécifier ses propres politiques avec les données client et mettra à jour ce message avec toutes les réponses.
« Ne tirez pas parti d’informations de santé extrêmement sensibles »
Selon la plainte de la FTC, GoodRx partageait les noms des médicaments et des conditions de santé associées que les utilisateurs recherchaient sur GoodRx avec des acteurs adtech comme Meta, Google et Criteo, qui gèrent des milliards de dollars de publicité non seulement sur des plateformes comme Google.com, Facebook et Instagram, mais également sur d’autres sites et applications.
Un responsable de la FTC a déclaré aux journalistes lors d’un appel mardi que certaines de ces informations contenaient des détails sensibles sur l’état de santé des personnes.
La FTC a également déclaré que GoodRx avait compilé des listes de ses utilisateurs qui avaient acheté certains médicaments – les maladies cardiaques et la pression artérielle, en particulier – et avait téléchargé leurs adresses e-mail, numéros de téléphone et identifiants publicitaires pseudonymisés sur Facebook afin que GoodRx puisse identifier qui ils étaient et les cibler avec publicités liées à la santé.
L’agence a également accusé GoodRx de « suggérer à tort » aux consommateurs que l’entreprise était conforme à la loi américaine sur la protection de la vie privée en matière de santé, Health Insurance Portability and Accountability Act, ou HIPAA. Le responsable de la FTC a déclaré que les consommateurs avaient été induits en erreur en pensant que leurs données étaient protégées alors qu’une grande partie des activités de GoodRx n’était pas couverte par la loi.
En vertu de l’ordonnance, GoodRx se verra interdire de divulguer les informations de santé des utilisateurs à des tiers à des fins publicitaires. Il sera également tenu de limiter la durée de conservation des informations personnelles et de santé « selon un calendrier de conservation des données » et de détailler aux utilisateurs ce qu’il collecte et pourquoi. Il doit également mettre en œuvre un programme de confidentialité pour protéger les données des consommateurs à l’avenir.
La FTC exigera également que GoodRx demande la suppression des données en contactant les entreprises avec lesquelles elle a partagé les données des utilisateurs. Mais le responsable de la FTC a reconnu que sa mesure d’exécution lie GoodRx et n’oblige pas les entreprises qui ont reçu les données à se conformer à la demande de suppression. GoodRx doit également établir un programme de confidentialité complet et détailler « de manière visible » les données qu’il divulguera à des tiers.
« Les entreprises de santé numérique et les applications mobiles ne devraient pas profiter des informations de santé extrêmement sensibles et personnellement identifiables des consommateurs », a déclaré Samuel Levine, directeur du bureau de protection des consommateurs de la FTC, dans un communiqué. « La FTC notifie qu’elle utilisera toute son autorité légale pour protéger les données sensibles des consommateurs américains contre les abus et l’exploitation illégale. »
Une grande partie du comportement de suivi de GoodRx – tel que décrit par la FTC – a été révélé pour la première fois par Gizmodo en 2020. Quelque 55 millions de consommateurs ont visité le site Web de GoodRx depuis 2017.
L’ordonnance de la FTC est soumise à l’approbation du tribunal fédéral.
Mis à jour avec la réponse de GoodRx.