La FTC propose des modifications pour clarifier la règle de notification des atteintes à la santé

Le 18 mai, la Federal Trade Commission (FTC) a proposé des modifications à la règle de notification des atteintes à la santé (le HBNR ou la règle), notamment en clarifiant l'applicabilité de la règle aux applications de santé et à d'autres technologies similaires. Ces modifications proposées visent à institutionnaliser formellement l'interprétation large de la règle par la FTC, comme indiqué dans sa déclaration de politique de 2021.

Plus précisément, ces modifications proposées élargiraient considérablement la façon dont le HBNR s'applique par rapport à la façon dont de nombreuses parties avaient auparavant compris la législation pertinente et la règle. Ces modifications élargiraient à la fois les types d'entités couvertes par la règle (par exemple en s'appliquant à certaines applications de santé qui n'étaient pas auparavant considérées comme couvertes par la règle) et élargiraient les types d'activités qui déclenchent les obligations de notification de la règle (telles que comme la divulgation non autorisée de certaines informations de santé à un tiers sans le consentement du consommateur). Bien que ces interprétations soient conformes à la fois aux directives récentes de la FTC et aux décisions d'application, elles constituent un nouveau développement que cette règle proposée cimenterait désormais en tant qu'exigence légale. Les entreprises potentiellement concernées par cette proposition doivent évaluer cette étendue et cette couverture supplémentaires dans le contexte de l'autorisation légale d'origine et réfléchir à la meilleure façon de répondre au cours de cette période de commentaires à ces modifications proposées.

De plus, les modifications proposées par la FTC au HBNR font partie d'une série de mesures que l'agence a prises pour montrer qu'elle est particulièrement soucieuse de protéger ce qu'elle considère comme des catégories de données "sensibles". En plus de ses récentes mesures d'application concernant les données de santé, la FTC a récemment annoncé deux mesures d'application contre des entreprises pour le traitement de données d'enfants en violation de la loi sur la protection de la vie privée en ligne des enfants. Il a également publié des directives en mai sur les risques accrus associés au traitement des informations biométriques, indiquant que l'agence prête également attention à cette question. Les entreprises qui traitent ces catégories de données plus sensibles dans le cours normal de leurs activités doivent être conscientes que la FTC porte une attention particulière et doivent s'assurer que leurs pratiques en matière de confidentialité sont conformes aux récentes directives et mesures d'application de l'agence.

Nous avons résumé ci-dessous les principaux changements proposés à la règle et nous sommes heureux de répondre à toutes vos questions. Vous pouvez continuer à rester au courant de nos mises à jour en vous abonnant au blog WilmerHale sur la confidentialité et la cybersécurité.

De nombreuses applications de santé et technologies similaires ne sont pas couvertes par la HIPAA, mais cette portée clarifiée de la règle couvrirait ces entreprises. Les entreprises qui offrent des services liés au bien-être qui n'auraient peut-être pas été traditionnellement considérés comme des problèmes de santé ou médicaux doivent également noter que ce champ d'application clarifié vise à les couvrir : un produit de marque comme un produit de « bien-être » (plutôt qu'un produit de « santé ») pourrait seront toujours assujettis aux obligations de HBNR en vertu de ces changements proposés.

Les modifications proposées clarifieraient également que seules les entités qui accèdent ou envoient des informations de santé identifiables PHR non sécurisées sont considérées comme des entités liées aux PHR, dans la tentative de l'agence de réduire le champ des entités sous cette définition. Pour éviter les obligations conflictuelles résultant de cette nouvelle définition, l'agence cherche également à clarifier qu'un fournisseur de services tiers n'est pas considéré comme une entité liée à PHR lorsqu'il accède à des informations de santé PHR non sécurisées dans le cadre de la prestation de services.

Élargir la définition d'une faille de sécurité

En vertu des modifications, la règle mettrait également à jour la définition de violation de la sécurité pour couvrir l'acquisition non autorisée d'informations de santé identifiables PHR qui se produit à la suite d'une violation de la sécurité des données ou d'une divulgation non autorisée.

La règle actuelle définit une faille de sécurité comme "l'acquisition d'informations de santé identifiables PHR non sécurisées d'un individu dans un dossier de santé personnel sans l'autorisation de l'individu" et inclut une présomption réfutable d'accès non autorisé aux données d'un individu. La nouvelle définition inclurait « unnon autoriséacquisition d'informations de santé identifiables PHR non sécurisées dans un dossier de santé personnelqui se produit à la suite d'une violation de données ou d'une divulgation non autorisée" (soulignement ajouté). La nouvelle définition rendrait évident que l'acquisition non autorisée de renseignements médicaux identifiables résultant d'une violation ou d'une divulgation non autorisée serait couverte par la règle.

Les entreprises partageant des informations avec des tiers doivent s'assurer que ces divulgations ont été autorisées par le client. Selon la nouvelle définition, une divulgation volontaire faite par un fournisseur de PHR sans l'autorisation du consommateur serait explicitement qualifiée de violation de la sécurité, conformément aux actions récentes de la FTC telles que dans les affaires GoodRx et Easy Healthcare.

Modernisation des méthodes de notification

En vertu de la nouvelle règle, électronique signifierait courrier électronique en combinaison avec au moins l'un des éléments suivants : messagerie texte, messagerie intégrée à l'application ou bannière électronique. L'ajout du deuxième volet à une notification par e-mail vise à augmenter la probabilité que les consommateurs soient confrontés à la notification de violation.

Les entreprises sont actuellement tenues d'inclure dans leurs notifications une description des types d'informations de santé identifiables PHR non sécurisées qui auraient pu être impliquées dans la violation. La règle actuelle donne des exemples de telles informations, telles que le nom complet, la date de naissance, le numéro de sécurité sociale, le numéro de compte ou le code d'invalidité. Selon les modifications proposées, cette liste serait élargie pour inclure d'autres types d'informations de santé identifiables PHR, telles que des informations sur le diagnostic ou l'état de santé, les résultats de laboratoire, les médicaments, d'autres informations sur le traitement, l'utilisation par l'utilisateur d'une application mobile liée à la santé et d'un appareil identifiant. La FTC note que l'exposition d'informations sur la santé peut entraîner divers préjudices ; par exemple, même la divulgation de l'utilisation par un individu d'une application mobile liée à la santé pourrait entraîner des blessures telles que l'embarras, la stigmatisation sociale, des primes d'assurance maladie plus élevées et même la perte d'emploi. Les entreprises qui subissent une faille de sécurité doivent réfléchir attentivement au type d'informations de santé susceptibles d'avoir été exposées, car l'agence signale une interprétation large de ce qu'impliquent les informations de santé identifiables PHR.

La dernière modification proposée à la règle oblige les entreprises à fournir au moins deux procédures de contact afin que les individus puissent en savoir plus sur la violation.