Le « P » dans HIPAA ne signifie pas confidentialité. C’est l’une des premières choses que diront de nombreux experts lorsqu’on leur demandera de dissiper toute idée fausse concernant la loi sur les données de santé. Au lieu de cela, il signifie portabilité – il s’appelle la Health Insurance Portability and Accountability Act – et décrit comment les informations peuvent être transférées entre les prestataires. En raison des interprétations erronées de la loi HIPAA commençant par son nom, les malentendus sur ce que fait réellement la loi ont un impact considérable sur notre capacité à reconnaître comment les types de données entrent et ne relèvent pas de son champ d’application. Cela est d’autant plus vrai qu’un nombre croissant d’appareils et de services technologiques grand public rassemblent une mine d’informations liées à notre santé.
Nous considérons souvent la HIPAA comme une loi sur la confidentialité des données des consommateurs, car elle a ordonné au ministère de la Santé et des Services sociaux de proposer certaines dispositions de sécurité, telles que des réglementations sur la notification des violations et une protection des informations individuellement identifiables. Mais lorsque la HIPAA est entrée en vigueur dans les années 1990, son objectif principal était d’améliorer la manière dont les prestataires travaillaient avec les compagnies d’assurance. En termes simples, « les gens pensent que la HIPAA couvre plus qu’elle ne le fait réellement », a déclaré Daniel Solove, professeur à l’Université George Washington et PDG de la société de formation en matière de confidentialité TeachPrivacy.
La loi HIPAA a deux grandes restrictions : un ensemble limité d’entités couvertes et un ensemble limité de données couvertes, selon Cobun Zweifel-Keegan, directeur général de DC de l’Association internationale des professionnels de la vie privée. Les entités couvertes comprennent les prestataires de soins de santé comme les médecins et les régimes de santé comme les compagnies d’assurance maladie. Les données couvertes font référence aux dossiers médicaux et autres informations de santé individuellement identifiables utilisées par ces entités couvertes. En vertu de la HIPAA, votre médecin généraliste ne peut pas vendre de données relatives à votre statut vaccinal à une société de publicité, mais à une application de fitness (qui ne serait pas une entité couverte) qui suit vos pas et votre fréquence cardiaque (qui ne sont pas considérées comme des données couvertes). ) c’est absolument possible.
« Ce que couvre la HIPAA, ce sont les informations liées aux soins de santé ou au paiement des soins de santé, ainsi que toute information identifiable contenue dans ce fichier », a déclaré Solove. Cela ne couvre pas les informations de santé partagées avec votre employeur ou votre école, comme si vous remettez un certificat de maladie, mais cela empêche votre médecin de partager plus de détails sur votre diagnostic s’il appelle pour vérifier.
Cependant, beaucoup de choses ont changé au cours des près de 30 ans qui se sont écoulés depuis l’entrée en vigueur de la HIPAA. Les législateurs à l’origine de la HIPAA n’avaient pas prévu la quantité de données que nous partagerions aujourd’hui sur nous-mêmes, dont une grande partie peut être considérée comme personnellement identifiable. Cette information n’entre donc pas dans son champ d’application. « Lorsque la loi HIPAA a été conçue, personne n’avait vraiment prévu à quoi le monde allait ressembler », a déclaré Lee Tien, avocat principal à l’Electronic Frontier Foundation. Ce n’est pas mal conçu, la HIPAA ne peut tout simplement pas suivre l’état dans lequel nous nous trouvons aujourd’hui. « Vous partagez constamment des données avec d’autres personnes qui ne sont pas des médecins ou qui ne font pas partie de la compagnie d’assurance », a déclaré Tien.
Pensez à toutes les données collectées quotidiennement sur nous qui pourraient donner un aperçu de notre santé. Noom suit votre alimentation. Peloton connaît vos niveaux d’activité. Le calme vous voit quand vous dormez. Medisafe connaît votre horaire de pilule. Betterhelp sait de quels problèmes de santé mentale vous pourriez souffrir et a été interdit il y a moins d’un an par la FTC. La liste est longue et une grande partie peut être utilisée pour vendre des compléments alimentaires, des somnifères ou autre. « Les données sur la santé pourraient être presque illimitées », donc si la HIPAA n’avait pas une portée limitée d’entités couvertes, la loi serait également illimitée, a déclaré Solove.
Sans parler de la quantité de déductions que les entreprises peuvent faire sur notre santé à partir d’autres données. Un a expliqué comment, grâce aux recherches et aux achats en ligne d’une personne, Target peut découvrir qu’elle est enceinte. HIPAA peut ne pas protéger vos informations médicales contre la consultation par les forces de l’ordre. Même sans mandat, les flics peuvent récupérer vos dossiers. La police l’a fait, mais d’autres types de données peuvent également fournir des détails sensibles. Par exemple, cela peut montrer que vous vous êtes rendu dans une clinique spécifique pour recevoir des soins. En raison de ces déductions, des lois comme la HIPAA n’empêcheront pas nécessairement les forces de l’ordre de poursuivre quelqu’un sur la base de sa décision en matière de soins de santé.
Aujourd’hui, des lois spécifiques à chaque État apparaissent aux États-Unis pour aider à cibler certaines des lacunes en matière de confidentialité des données de santé que la HIPAA ne couvre pas. Cela signifie aller au-delà des seuls dossiers médicaux et des prestataires de soins de santé pour englober davantage l’empreinte des données de santé des personnes. C’est comme en Californie, qui offre des options pour accuser toute personne divulguant par négligence des informations médicales ou des protections supplémentaires contre les violations pour les consommateurs basés en Pennsylvanie, mais l’État de Washington a récemment adopté une loi ciblant spécifiquement les lacunes de la HIPAA.
La loi My Health My Data de l’État de Washington, adoptée l’année dernière, vise à « protéger les données personnelles de santé qui ne relèvent pas de la loi sur la portabilité et la responsabilité de l’assurance maladie », selon le bureau du procureur général de Washington. Toute entité qui exerce des activités dans l’État de Washington et traite des informations personnelles identifiant l’état de santé physique ou mentale passé, présent ou futur d’un consommateur doit se conformer aux protections de la vie privée de la loi. Ces dispositions incluent le droit de ne pas vendre vos données de santé sans votre autorisation et de supprimer vos données de santé sur demande écrite. En vertu de cette loi, contrairement à la HIPAA, une ou plusieurs des déductions faites par Target concernant la grossesse seraient couvertes.
My Health My Data est toujours en cours de déploiement, nous devrons donc attendre de voir quel impact la loi aura sur la protection nationale de la confidentialité des données de santé. Pourtant, cela suscite déjà des lois de copie en .