GoodRx condamnée à payer 1,5 million de dollars pour avoir partagé de manière « trompeuse » des données de santé personnelles avec Google et Facebook

Dans une décision inédite, la pharmacie en ligne californienne GoodRx a accepté mercredi de payer 1,5 million de dollars de pénalités civiles, à la suite d’une enquête de la Federal Trade Commission (FTC) qui a révélé que la société partageait les données de santé de ses utilisateurs avec des entreprises de la Big Tech, dont Facebook et Google.

Selon le New York Times, la FTC a accusé la société mère de GoodRx, GoodRx Holdings, de partager des informations sur les médicaments sur ordonnance et les maladies de millions de ses utilisateurs, à des fins de publicité et de marketing.

Dans la plainte de la FTC, déposée devant le tribunal de district des États-Unis pour le district nord de la Californie, l’agence affirme également que GoodRx n’a pas informé les consommateurs que leurs données de santé personnelles seraient partagées avec des tiers et qu’elle a induit les consommateurs en erreur en leur faisant croire que leurs données étaient protégées.

La FTC a estimé que les pratiques de GoodRx violaient la Health Breach Notification Rule de la FTC, qui oblige les applications de santé et autres outils similaires, y compris les trackers de fitness, à notifier aux consommateurs les violations des données qu’ils ont recueillies.

Dans une déclaration, Samuel Levine, directeur de la protection des consommateurs à la FTC, a déclaré :

« Les entreprises de santé numérique et les applications mobiles ne devraient pas encaisser les informations de santé extrêmement sensibles et personnellement identifiables des consommateurs. …

« La FTC notifie qu’elle utilisera toute son autorité légale pour protéger les données sensibles des consommateurs américains contre une utilisation abusive et une exploitation illégale. »

Selon TechCrunch, c’est la première fois que cette règle est appliquée, alors qu’elle est en vigueur depuis une décennie.

FTC : GoodRx a partagé les données de santé personnelles des utilisateurs « pendant des années »

La FTC a constaté que GoodRx « a promis de manière trompeuse à ses utilisateurs qu’elle ne partagerait jamais les informations de santé personnelles avec des annonceurs ou d’autres tiers », mais « a violé cette promesse à plusieurs reprises … pendant des années », rapporte TechCrunch.

Selon TechCrunch, GoodRx s’est livré à de telles pratiques de multiples façons. L’une d’elles consistait à partager les noms des médicaments et des problèmes de santé associés de ses utilisateurs avec des plateformes publicitaires exploitées par Google, Facebook et d’autres.

Un responsable de la FTC a déclaré aux journalistes que certaines de ces informations comprenaient des données sensibles sur la santé des utilisateurs.

GoodRx a ensuite monétisé les données en diffusant des publicités ciblées sur la santé et les médicaments, selon TechCrunch.

Les données personnelles partagées par GoodRx, selon le Times, « pourraient relier les utilisateurs à des problèmes chroniques de santé physique et mentale, y compris la toxicomanie ».

Selon le Times, l’affaire de la FTC portait sur l’utilisation par GoodRx d’outils de suivi, notamment de « pixels » et de « kits de développement logiciel ». Facebook, Google et d’autres entreprises technologiques fournissent de tels outils, qui permettent de suivre les activités des utilisateurs et de partager des données avec des tiers à des fins de ciblage publicitaire et d’analyse des utilisateurs.

GoodRx a déclaré avoir cessé d’utiliser les « pixels » de Facebook il y a trois ans, selon le Times.

Ces données comprenaient le nom et le prénom des utilisateurs, leur adresse électronique et leur numéro de téléphone portable, leur adresse IP, leur localisation, leur sexe et le code d’identification unique de leur appareil.

Des actions telles que le fait de cliquer sur un lien, de lire des informations sur des médicaments ou des maladies spécifiques ou d’ouvrir une application particulière pourraient également être suivies, indique le Times.

La FTC a également déclaré que GoodRx « téléchargeait sur Facebook les coordonnées des utilisateurs qui avaient acheté certains médicaments, comme des pilules contraceptives ou des pilules contre les troubles de l’érection, afin que l’application de réduction des prix des médicaments puisse identifier les profils de ses utilisateurs sur les médias sociaux », rapporte le Times.

Selon TechCrunch, les listes d’utilisateurs de GoodRx comprenaient également des utilisateurs ayant acheté des médicaments contre la tension artérielle et les maladies cardiaques, toujours dans le but de cibler les utilisateurs avec des publicités spécifiques liées à la santé.

Facebook et Instagram ont utilisé ces informations pour fournir des publicités ciblées sur les médicaments aux utilisateurs sur Facebook et Instagram, a déclaré la FTC.

« GoodRx a également ciblé les utilisateurs qui avaient cherché des informations sur les maladies sexuellement transmissibles sur HeyDoctor, le service de télémédecine de la société, avec des publicités pour les services de dépistage des MST de HeyDoctor. »

La FTC a également constaté que GoodRx ne limitait pas la manière dont les tiers pouvaient utiliser les informations de santé recueillies auprès des utilisateurs de la société, permettant à ces derniers d’utiliser les données à des « fins commerciales internes telles que la recherche et le développement de produits », rapporte le Times.

Selon la FTC, plus de 55 millions de personnes ont utilisé ou visité les plateformes numériques de GoodRx depuis 2017. Au cours de cette période, GoodRx a promis publiquement « de ne jamais fournir aux annonceurs d’informations révélant un état de santé personnel », mais a en fait « révélé des détails extrêmement intimes et sensibles », rapporte le Times.

GoodRx a également « omis de maintenir des protections suffisantes » pour les informations personnelles des utilisateurs, comme des politiques formelles et écrites adéquates en matière de confidentialité et de partage des données, selon le Times.

Selon TechCrunch, la FTC a accusé GoodRx de « suggérer faussement » aux utilisateurs qu’elle était conforme à la Loi sur la portabilité et la responsabilité en matière d’assurance maladie [Health Insurance Portability and Accountability Act (HIPAA)] de 1996, les induisant en erreur en leur faisant croire que leurs données étaient protégées par la loi alors qu’en fait, une grande partie de ces données n’étaient pas spécifiquement couvertes par l’HIPAA ou d’autres lois.

GoodRx a l’interdiction de partager les données des utilisateurs avec des tiers, en attendant l’approbation finale de l’ordonnance de la FTC

En vertu de l’ordonnance de la FTC, qui doit être approuvée par le tribunal fédéral de Californie, GoodRx n’aura plus le droit de partager les informations relatives à la santé des utilisateurs avec des tiers à des fins publicitaires et devra se conformer à un « calendrier de conservation des données », limitant la durée de conservation des données personnelles et de santé des utilisateurs, rapporte TechCrunch.

La société sera également tenue de mettre en œuvre un programme de protection de la vie privée afin de protéger les données des utilisateurs et de divulguer à ces derniers les données qu’elle collecte et à quelles fins.

GoodRx devra également demander aux entreprises avec lesquelles elle a partagé des données de supprimer ces dernières. Toutefois, ces entreprises ne seront pas liées par l’ordonnance, selon TechCrunch.

Ces exigences s’ajoutent à l’amende civile de 1,5 million de dollars infligée à GoodRx pour sa violation de la règle de notification des atteintes à la santé, rapporte le Times.

Dans une déclaration publiée après l’annonce de la FTC, GoodRx a affirmé qu’elle accordait une grande importance à la vie privée des utilisateurs :

« Chez GoodRx, la protection de la vie privée de nos utilisateurs est l’une de nos plus importantes priorités. Nous sommes réfléchis et disciplinés quant aux informations que nous recueillons et à la manière dont nous les utilisons. Le règlement avec la FTC porte sur un vieux problème qui a été traité de manière proactive il y a près de trois ans, avant le début de l’enquête de la FTC.

« Bien que nous ayons utilisé des technologies de fournisseurs pour faire de la publicité d’une manière qui, selon nous, était conforme à toutes les réglementations applicables et qui reste une pratique courante parmi de nombreux sites Web de santé, de consommateurs et gouvernementaux, nous sommes fiers d’avoir pris des mesures pour être un leader du secteur en matière de pratiques de confidentialité. »

Dans la même déclaration, GoodRx a affirmé qu’elle n’était pas d’accord avec les allégations de la FTC et qu’en acceptant le règlement, elle ne reconnaissait aucune faute :

« Nous ne sommes pas d’accord avec les allégations de la FTC et nous ne reconnaissons aucune faute. La conclusion d’un accord nous permet d’éviter le temps et les frais d’un long procès.

« Nous pensons que les exigences détaillées dans le règlement n’auront pas d’impact significatif sur notre activité ou sur nos opérations actuelles ou futures. »

La règle de notification des atteintes à la santé de la FTC exige que les applications de santé et autres outils similaires « informent les utilisateurs de violations telles que les cyberattaques ou le partage non autorisé de leurs données de santé », rapporte le Times.

Bien que la FTC n’ait jamais appliqué cette règle, l’agence l’a reconsidérée ces dernières années, rapporte TechCrunch. Par exemple, la FTC a précisé en 2021, puis à nouveau en 2022, que la règle s’applique également aux développeurs d’applications et aux fabricants d’appareils de fitness, en avertissant qu’elle prendrait des mesures contre les violations présumées.

Selon le Times, la FTC a accusé en 2021 le développeur de Flo, une application de suivi de la santé utilisée par plus de 100 millions de femmes, « d’avoir trompé les utilisateurs sur ses pratiques de traitement des données en partageant avec Google et Facebook des détails de santé intimes sur leurs règles et leurs grossesses ». La FTC et Flo ont réglé le procès en juin 2021.

Selon le Times, la présidente de la FTC, Lina M. Khan, « cherche à interdire certaines pratiques de longue date de l’industrie des données technologiques », la décrivant comme la « présidente activiste » de l’agence.

L’ordonnance de la FTC à l’encontre de GoodRx « pourrait bouleverser les pratiques généralisées de profilage des utilisateurs et de ciblage publicitaire » des grandes entreprises, ajoute le Times.

La tendance aux « soins de santé numériques » suscite des inquiétudes en matière de protection de la vie privée

Selon TechCrunch, « GoodRx est un exemple parfait de la manière dont les règles peuvent être violées, mais avec la prolifération des services de soins de santé en ligne ces dernières années – qui ont reçu un coup de fouet en particulier avec l’arrivée de la pandémie COVID-19 – il y a des signes que nous pourrions commencer à voir plus d’application de la [FTC’s] règle. »

Les règles de la FTC pourraient combler certaines des lacunes de l’HIPAA et d’autres lois. Le Times rapporte que « contrairement aux résultats d’analyses sanguines d’une personne et aux autres informations sur les patients recueillies par les médecins et les hôpitaux […] les détails de santé personnels que des dizaines de millions de consommateurs saisissent dans des applications ou recherchent en ligne, comme les noms des médicaments ou des maladies, sont spécifiquement couverts par peu de protections juridiques ».

La règle de la FTC « est particulièrement importante à la lumière du fait qu’il y a de plus en plus de services de soins de santé qui arrivent en ligne », selon TechCrunch, qui cite Amazon en exemple.

Le 24 janvier, Amazon a fait son entrée sur le marché des médicaments sur ordonnance par l’intermédiaire d’Amazon Pharmacy, en lançant RxPass, une extension de son service Amazon Prime qui permet aux utilisateurs de payer un forfait mensuel de 5 dollars pour obtenir un nombre illimité de renouvellements d’une série de médicaments génériques.

Selon Forbes, plus de 50 médicaments génériques couvrant 80 affections courantes font partie du lancement du service Amazon RxPass. Il s’agit notamment de la sertraline (la version générique de l’antidépresseur Zoloft) et du losartan (la version générique du médicament contre l’hypertension Cozaar).

Les médicaments sont livrés gratuitement, sur présentation d’une ordonnance valide.

Selon Forbes, le RxPass d’Amazon n’est pas disponible dans tous les États (Californie, Louisiane, Maryland, Minnesota, New Hampshire, Pennsylvanie, Texas et Washington sont exclus).

Les personnes bénéficiant de programmes d’assurance financés par le gouvernement, tels que Medicare et Medicaid, ne sont pas non plus admissibles au programme RxPass.

Toutefois, une transaction distincte d’Amazon liée aux soins de santé, actuellement en attente d’approbation par les régulateurs, permettrait à l’entreprise Big Tech de combler cette lacune.

Les 80 conditions initiales couvertes par les offres de médicaments génériques de RxPass ont été choisies intentionnellement « pour en faire une offre attrayante pour une large base de clients potentiels », selon TechCrunch, qui a noté que plus de 150 millions d’Américains prennent déjà un ou plusieurs des médicaments proposés par le programme.

En juillet 2022, Amazon a acheté One Medical, un fournisseur privé de services de santé qui exploite 188 cabinets de soins primaires et un service de télésanté par abonnement, dans le cadre d’une transaction entièrement en espèces de 3,9 milliards de dollars.

Selon Forbes, « l’acquisition de One Medical permet à Amazon de se lancer dans la fourniture de soins de santé aux patients de Medicare ».

Fierce Healthcare a rapporté le 3 janvier que le programme de surveillance du marché des soins de santé de l’Oregon Health Authority a approuvé l’accord, ce qui le rapproche de l’approbation réglementaire complète. La FTC enquête sur cette acquisition.

Au moment de l’annonce de l’accord, certaines personnalités politiques et certains défenseurs des consommateurs l’ont qualifié de « dangereux », soulevant des problèmes potentiels de confidentialité et d’antitrust.

Malgré l’échec de son initiative Amazon Care, Amazon continue de faire des incursions sur le marché des soins de santé, en mettant l’accent sur les « services d’intelligence artificielle destinés à la santé [artificial intelligence] ».

Certains analystes affirment que l’utilisation de l’IA dans les soins de santé « pourrait révolutionner les diagnostics et l’administration des traitements », tandis que d’autres soutiennent qu’avec l’augmentation du coût des soins de santé, l’IA et d’autres options numériques peuvent potentiellement « rendre les soins de santé plus accessibles [and] abordables ».