La Federal Trade Commission a infligé une amende de 1,5 million de dollars au fournisseur de pharmacie et de télésanté en ligne GoodRx pour avoir prétendument partagé les données de santé privées de ses clients avec Google, Facebook et d’autres tiers sans consentement. GoodRx a en outre accepté une disposition sans précédent qui interdira à l’entreprise de partager davantage les données de santé des consommateurs avec des tiers à des fins publicitaires. La plainte de la FTC vient après enquêtes par Les rapports des consommateurs et Gizmodo a découvert pour la première fois en 2020 que GoodRx partageait de manière non consensuelle les informations de santé privées de ses clients avec plus de 20 entreprises.
Dans un plainte déposée par le ministère de la Justice mercredi, la FTC accuse GoodRx d’avoir violé ses propres promesses de confidentialité et la règle de notification des violations de la santé de la FTC en omettant d’informer ceux qui utilisent ses services que leurs informations de santé privées, telles que leurs conditions médicales et leurs médicaments sur ordonnance, étaient divulguées à des agences de publicité et à des plateformes tierces.
La plainte allègue que GoodRx a partagé des données de santé des consommateurs avec Facebook, Google, Criteo, Branch et Twilio depuis au moins 2017, malgré la promesse aux utilisateurs que leurs informations ne seraient jamais divulguées à des annonceurs ou à d’autres tiers. Ces informations auraient été utilisées pour cibler les utilisateurs de GoodRx avec des publicités personnalisées spécifiques à leurs médicaments et à leur santé sur Facebook et Instagram. La plainte affirme également que la pharmacie en ligne a faussement représenté sa conformité HIPAA.
GoodRx n’a admis aucun acte répréhensible dans son déclaration répondant à la FTCaffirmant qu’il avait accepté le règlement pour « éviter le temps et les dépenses d’un litige prolongé ».
« Nous avions utilisé les technologies des fournisseurs pour faire de la publicité d’une manière qui, selon nous, était conforme à toutes les réglementations applicables et qui reste une pratique courante sur de nombreux sites Web de santé, de consommation et gouvernementaux », a déclaré GoodRx. La pharmacie en ligne affirme également que le règlement se concentre sur « un vieux problème qui a été résolu de manière proactive il y a près de trois ans », avant l’enquête de la FTC. Cependant, Gizmodo dit Le balisageL’outil Rétroéclairage de montre que GoodRx.com a continué à partager des informations sur les consommateurs avec des agences de publicité et a depuis ajouté de nouveaux partenaires publicitaires depuis l’enquête initiale en 2020.
L’ordonnance de la FTC est toujours soumise à l’approbation de la Cour fédérale, mais si elle est adoptée, elle pourrait avoir un effet profond sur la légalité des pratiques publicitaires au sein de l’industrie médicale et de la santé.
« Les applications et les sites Web de santé donnent nos données personnelles depuis des années sans conséquence », a déclaré Justin Brookman, directeur de la politique technologique chez Les rapports des consommateurs (via L’indépendant). « Cette affaire devrait être un tournant – maintenant les entreprises doivent comprendre que le partage des données des clients sans autorisation claire entraînera des enquêtes et des amendes. »
La pratique consistant à partager les données des consommateurs avec des tiers sans consentement est assez courant dans les applications et services de santé. Cependant, cette affaire marque la première fois depuis son introduction en 2009 que la FTC cherche à faire appliquer sa Règle de notification d’atteinte à la santé, qui oblige les entreprises à informer les consommateurs en cas d’accès non autorisé à leurs dossiers médicaux personnels. La FTC a dit précédemment que la règle de notification des violations de la santé pourrait également être appliquée aux technologies grand public qui ne sont pas couvertes par la HIPAA, telles que les trackers de fitness et les applications de santé ou de régime.
« Les entreprises de santé numérique et les applications mobiles ne devraient pas profiter des informations de santé extrêmement sensibles et personnellement identifiables des consommateurs », dit Samuel Levine, directeur du Bureau de la protection des consommateurs de la FTC. « La FTC notifie qu’elle utilisera toute son autorité légale pour protéger les données sensibles des consommateurs américains contre les abus et l’exploitation illégale. »