Certaines des informations les plus sensibles au monde – l’historique de nos prescriptions, nos dossiers médicaux, nos antécédents sexuels, les informations sur l’utilisation des médicaments, et plus encore – entrent dans le monde numérique. La numérisation des dossiers médicaux est vendue comme une opportunité de révolutionner les soins de santé. Mais si les dossiers médicaux numériques présentent sûrement des avantages particuliers, cette innovation technologique a également d’énormes ramifications pour notre vie privée.
Le projet de l’EFF sur la confidentialité médicale examine les questions émergentes dans ce domaine, en examinant comment les lois sur la confidentialité médicale en retard et l’innovation technologique qui progresse rapidement laissent les patients vulnérables à l’exposition, l’abus ou la mauvaise interprétation de leurs données médicales.
Nous voulons tous que nos informations médicales soient privées, car nous pensons qu’elles doivent rester entre nous et nos prestataires de soins. Malheureusement, ce n’est souvent pas le cas.
De nombreuses données personnelles sur la santé circulent juste dans le processus de fourniture et de paiement des traitements et des prescriptions. Les rapports obligatoires – par exemple, à des fins de santé publique – aspirent un énorme volume d’informations de santé identifiables. Et nous donnons tous, sans y penser, beaucoup d’informations sur notre santé, volontairement ou pour recevoir un avantage perçu – en publiant en ligne des informations sur une maladie ou un état, en utilisant un moteur de recherche pour chercher des informations sur la grippe, en postulant pour un emploi, en s’inscrivant dans un club de gym et en agissant de diverses autres manières.
Les lois sur la confidentialité de la santé
Les États-Unis n’ont pas de loi universelle sur la confidentialité de l’information qui soit comparable, par exemple, à la directive européenne sur la protection des données. Les lois qui existent sont spécifiques à un secteur et varient considérablement. La loi de base pour les informations de santé est la loi sur la portabilité et la responsabilité en matière d’assurance maladie (HIPAA). L’HIPAA offre certains droits aux patients, mais elle est très limitée car elle ne s’applique à une entité que si elle est considérée par la loi comme une « entité couverte » – c’est-à-dire un prestataire de soins de santé, un plan de santé ou un centre d’échange de soins de santé – ou un associé commercial (AB). Cela signifie que l’HIPAA ne s’applique pas à de nombreuses entités qui peuvent recevoir des informations médicales, comme une application sur votre téléphone portable ou un service de test génétique comme 23andme.
Réellement, l’HIPAA est une loi de réglementation de la divulgation, pas une loi sur la vie privée : Elle réglemente la façon dont vos informations de santé peuvent être divulguées, avec et sans votre consentement. Aucun consentement n’est nécessaire pour le traitement, le paiement ou les opérations de soins de santé. Par exemple, votre médecin peut consulter un autre médecin au sujet de votre dernière blessure sans obtenir votre consentement, car cela fait partie du traitement de votre blessure.
Les informations médicales individuelles peuvent également être divulguées sans votre consentement pour des rapports de santé publique, pour aider les forces de l’ordre, et à des fins judiciaires et administratives, ou pour déterminer votre éligibilité à des prestations et des services. Elles peuvent également être divulguées d’une manière que vous ne pouvez pas découvrir à des fins de sécurité nationale.
Les États peuvent également protéger la confidentialité médicale. En tant que loi fédérale, l’HIPAA établit un « plancher » national, mais permet aux États d’avoir des protections plus fortes de la vie privée des patients. Dans certains domaines, la loi californienne est plus forte que l’HIPAA.
Pour comprendre des sujets spécifiques liés à la confidentialité médicale, il est utile de comprendre le patchwork de lois étatiques et fédérales qui s’appliquent aux informations médicales. Lisez notre guide sur la loi sur la confidentialité médicale.
Quelles sont les informations contenues dans les dossiers médicaux ?
Les informations médicales et non médicales qui sont recueillies et partagées dans les dossiers médicaux comprennent :
- Données démographiques de base telles que l’adresse, le ou les numéros de téléphone, l’adresse électronique, l’âge, le sexe et la race.
- Nom complet et numéro de compte et parfois numéro de sécurité sociale. L’utilisation des numéros de sécurité sociale est déconseillée en raison du risque de vol d’identité. Pour cette raison, certains fournisseurs de soins de santé, mais loin d’être tous, utilisent maintenant un numéro d’identification du patient attribué, plutôt qu’un numéro de sécurité sociale.
- Antécédents médicaux : diagnostics, traitements, résultats des tests de diagnostic et ordonnances, ainsi que les conditions médicales connues, les allergies et les habitudes en matière de drogues, d’alcool et de tabagisme.
- Les informations relatives à la facturation et aux paiements.
- Les informations que vous fournissez sur les formulaires d’admission concernant les membres de votre famille proche, y compris les antécédents de certaines maladies, comme le cancer ou le diabète.
Quand les informations médicales ne sont pas couvertes par l’HIPAA ?
Dans de nombreuses situations, des entités qui ne sont pas couvertes par l’HIPAA possèdent des informations médicales. Parfois, d’autres lois sur la confidentialité s’appliquent à ces entités, parfois non.
Les informations de santé, si elles ne sont pas des dossiers complets, se retrouvent dans les dossiers financiers ; par exemple, lorsque vous payez des prescriptions ou un traitement psychiatrique avec une carte de crédit. Les dossiers scolaires peuvent contenir des traces d’examens physiques, d’évaluations comportementales ou de traitements pour des blessures sportives ; ces informations sont généralement couvertes par la FERPA (Family Educational Rights and Privacy Act). Les dossiers d’emploi peuvent également contenir des informations sur la santé.
Il y a aussi le gouffre numérique des informations que nous donnons volontairement. Il peut s’agir d’informations identifiables sur les médias sociaux, les sites web et les groupes de discussion liés à la santé, ou les applications mobiles de santé et de fitness. Il peut également s’agir d’informations de suivi dépersonnalisées que chaque site web collecte et peut combiner avec d’autres données pour les rendre identifiables.
Qui a accès à votre dossier médical ?
De nombreux organismes et organisations ont un accès légal aux informations médicales en vertu de l’HIPAA et de nombreuses autres lois. Pour commencer, les assureurs ont généralement accès – pas seulement les plans de santé, mais l’assurance-vie, les soins de longue durée et l’assurance automobile avec remboursement médical pour les blessures. De nombreuses agences gouvernementales ont également accès, notamment Medicare, Medicaid, Social Security Disability, Workers Comp, les départements de santé publique de l’État et fédéraux – la liste est longue.
En outre, le Bureau d’information médicale (MIB) recueille tous les dossiers médicaux que vous êtes tenu de communiquer lorsque vous demandez une assurance. Après 2014, cependant, la loi sur les soins abordables (ACA) éliminera l’utilisation des conditions préexistantes comme facteur d’obtention d’une assurance maladie, de sorte que les patients n’auront pas besoin de communiquer leurs dossiers médicaux dans le cadre du processus de demande. Ces dossiers aident les assureurs à vérifier que vous avez rempli votre demande de manière véridique.
Il existe également des gestionnaires de prestations pharmaceutiques (PBM), qui administrent les programmes de prestations pharmaceutiques pour les plans de santé. Les PBM disposent de tout l’historique de vos ordonnances – médicaments, dates, dosage et qui les a prescrits – car une partie de leur rôle consiste à vérifier votre admissibilité et à obtenir l’approbation de vos médicaments. Ils vendent également des informations dépersonnalisées (non couvertes par l’HIPAA car les informations personnellement identifiables ont été supprimées) à des mineurs de données, qui les revendent conditionnées sous forme de différents types de rapports.
Les employeurs ont accès aux informations de santé dans le cadre de la vérification des antécédents lorsque vous postulez à un emploi, bien qu’ils soient censés obtenir votre autorisation écrite au préalable. S’ils gèrent ou sous-traitent des programmes de bien-être des employés, ils peuvent avoir accès à des informations indiquant si vous faites de l’exercice ou si vous perdez du poids, si vous avez vraiment arrêté de fumer ou si vous réussissez à contrôler votre problème de gestion de la colère.
Comme mentionné ci-dessus, il existe des exceptions standard au consentement d’accès aux dossiers médicaux pour l’application de la loi, ainsi que des exceptions pour les processus judiciaires et administratifs. Les informations obtenues à des fins de sécurité nationale sont plus mystérieuses, et il est peu probable que vous sachiez que vos dossiers ont été divulgués, à moins que vous n’ayez la malchance de vous trouver l’objet de poursuites de la part du gouvernement.
Un autre domaine hors des limites de la réglementation où les gens donnent des informations médicales est celui des examens de santé informels, des foires de la santé et des programmes de vaccination administrés commercialement (comme les vaccins contre la grippe chez Costco ou les vaccins contre le zona chez Walgreen’s).
Résumé : Qui peut avoir accès à vos informations médicales ?
Assurance-vie
Assurance automobile
Assurance invalidité de longue durée
Employeurs
Bureau d’information médicale
Gestionnaires de prestations pharmaceutiques
Agences gouvernementales, comme Medicare, Medicaid, Social Security Disability, Workers Comp
Département de santé publique étatique et fédéral
Application de la loi et tribunaux
Entités de sécurité nationale
Quels sont vos droits ou votre contrôle sur vos informations médicales ?
Vous êtes à l’arrière de la ligne quand il s’agit d’avoir un mot à dire sur ce qui se passe avec vos informations de santé personnelles, mais vous avez certains droits.
On doit vous remettre un avis sur les pratiques de protection de la vie privée (APVP) qui vous indique comment les fournisseurs utilisent vos renseignements (ce qui signifie que vous n’avez pas le choix) et quels sont vos droits. Un prestataire a besoin de votre autorisation écrite pour divulguer des informations sur les MST, le traitement de la toxicomanie et les notes de psychothérapie. Une autorisation écrite est également nécessaire pour tout type de marketing autre que les rappels de prescription. Vous pouvez demander et recevoir des copies de vos dossiers et demander des corrections. Si vous payez votre propre traitement et demandez à un prestataire de ne pas divulguer les informations à un assureur, elles ne peuvent pas être divulguées.
En outre, les informations médicales peuvent être exposées lors d’une violation de données, que ce soit par la négligence d’un prestataire de soins de santé, les actes d’un pirate informatique malveillant ou par un autre moyen. Entre 2005 et 2013, le Privacy Rights Clearinghouse a recueilli des rapports sur 1 118 violations de données médicales qui ont potentiellement exposé plus de 29 millions de dossiers sensibles. Dans certains cas, les violations de dossiers médicaux peuvent également entraîner des amendes importantes. Le gouvernement fédéral publie désormais aussi des informations sur les violations de données médicales, qui comprennent une estimation du nombre de personnes touchées.
Les politiques de partage des informations de santé par voie électronique ne sont pas encore réglées, mais le défaut semble être qu’aucun consentement supplémentaire n’est requis au-delà du consentement HIPAA supposé pour le traitement, le paiement et les opérations de soins de santé pour mettre vos dossiers médicaux dans le flux de données numériques.
Lire plus sur la loi sur la confidentialité médicale.
Ressources et blogs :
CalOHII (California Office of Health Information Integrity) a une section utile et bien organisée sur les lois et règlements fédéraux et californiens concernant la confidentialité des informations de santé.
California Health Information Law Identification (CHILI) CHILI est un outil de recherche qui aide à identifier les lois et règlements californiens relatifs à la confidentialité, à l’accès et à la sécurité des informations de santé identifiables individuellement.
California Office of the Attorney General (pour des liens vers toutes les lois californiennes sur la protection de la vie privée)
Center for Democracy and Technology’s Health Privacy Project
Citizens’ Council for Health Freedom
Council for Responsible Genetics
Department of Health and Human Services and Department of Education : Directives conjointes sur l’application de la loi sur les droits et la confidentialité en matière d’éducation familiale (FERPA) et de la loi sur la portabilité et la responsabilité en matière d’assurance maladie de 1996 (HIPAA) aux dossiers médicaux des étudiants. (pour savoir comment FERPA et HIPAA interagissent)
Genetic Alliance
GeneWatch UK
Genomic Law Report
HealthLawProf Blog
Indiana University Center for Bioethics Newborn Blood Spot Banking : Approches du consentement – Mise à jour du droit et de la politique de PredictER
Base de données sur les statuts et la législation du génome de l’Institut national de recherche sur le génome humain
Droits à la vie privée des patients
Projet sur la vie privée médicale du Privacy Rights Clearinghouse
Le bureau du chancelier de l’UC Berkeley a un bon résumé de l’Information Practices Act.
Guide du patient sur l’HIPAA du World Privacy Forum
.