Ce printemps, un certain nombre de sites Web promettaient d’aider les gens à trouver des rendez-vous insaisissables pour les vaccinations COVID-19. Rebecca Gluskin, PhD, une statisticienne qui a travaillé sur un récent rapport sur l’utilisation abusive potentielle des données de santé pendant la pandémie de COVID-19, affirme que certaines d’entre elles méritent un examen minutieux quant à la manière dont elles utilisent les données des patients.
Un site, le Dr B, n’a pas pris de rendez-vous, mais il a collecté toutes les informations sur les sites de rendez-vous nécessaires pour déterminer l’éligibilité, telles que la date de naissance de l’utilisateur, son numéro de téléphone portable, sa profession et une liste de problèmes de santé. Le site est toujours en activité et pose toujours les mêmes questions, même maintenant que les exigences d’âge et de profession ont été largement éliminées du processus de vaccination et qu’il est facile pour la plupart des gens aux États-Unis de se faire vacciner.
Une récente enquête du MIT Technology Review a soulevé des questions sur le nombre de personnes que le Dr B a réellement aidé à trouver un rendez-vous. « Après des semaines de recherche, je n’ai pas pu identifier une seule personne qui a réussi à se faire vacciner via le service », a déclaré l’auteur de l’article.
Le fondateur de l’entreprise, Cyrus Massoumi, qui était également co-fondateur et PDG de Zocdoc jusqu’en 2015, a refusé de répondre à des questions détaillées mais a fourni une courte déclaration : « Dr. B ne demande que les données directement nécessaires pour fournir le service et protège ces données conformément aux normes HIPAA », a-t-il déclaré. « Nous ne vendons pas les données des patients. »
Cependant, la politique de confidentialité du Dr B autorise la vente de données de patients anonymisées : « Nous pouvons divulguer des informations agrégées sur nos utilisateurs et des informations qui n’identifient aucun individu, sans restriction. »
Interrogés sur leurs pratiques en matière de données, plusieurs sites de réservation médicale ont assuré à Consumer Reports qu’ils se comportaient de manière responsable, même si leurs politiques de confidentialité leur permettent de vendre les données des patients. Mais il y a au moins un récit édifiant de l’histoire récente de l’industrie où un intermédiaire médical a franchi des lignes éthiques et juridiques sérieuses.
En 2013, une société appelée Practice Fusion a dévoilé ce qu’elle a appelé le plus grand site de prise de rendez-vous chez le médecin aux États-Unis, Patient Fusion. Mais en 2016, la Federal Trade Commission a allégué que la société avait sollicité de manière trompeuse des avis de médecins en envoyant des e-mails aux patients et en leur demandant des commentaires sur la qualité des soins qu’ils avaient reçus, puis en publiant les réponses sur le site Web. De nombreux patients pensaient que les informations allaient à leurs prestataires de soins de santé et comprenaient donc des informations très personnelles sur leurs médicaments ou leurs conditions qui ont ensuite été publiées publiquement par Fusion, selon la FTC. Patient Fusion a réglé avec l’agence sans admettre ou nier les allégations, et a accepté d’éviter une telle conduite trompeuse à l’avenir.
Pire encore, en 2020, Practice Fusion a accepté de payer un règlement de 145 millions de dollars après que des responsables américains eurent allégué que la société avait recherché et reçu des pots-de-vin d’une société pharmaceutique pour promouvoir la consommation d’opioïdes via un système de dossiers de santé qu’elle gérait avec le site de rendez-vous médicaux.. À ce moment-là, Practice Fusion avait été racheté par une autre entreprise de technologie de la santé, Allscripts. Le règlement de la nouvelle société avec le gouvernement et les États américains était bien supérieur aux 100 millions de dollars que l’acquisition avait coûtés.
J’ai parlé à Ryan Howard, co-fondateur et alors PDG de Practice Fusion, en 2015 pour un livre que j’écrivais sur le commerce des données des patients. Mais lorsque je l’ai contacté récemment pour cet article, il a répondu par un e-mail de trois mots contenant mon nom et un juron de deux mots.
« C’est une bonne illustration du danger potentiel », déclare Wynia de l’Université du Colorado, se référant à la fois à l’e-mail laconique et à l’histoire de l’entreprise. Lorsque les entrepreneurs en ligne voient un moyen de générer de gros profits dans les soins de santé, les résultats peuvent souvent être bons pour les consommateurs, reconnaît-il, mais vous pouvez également vous retrouver avec un «mélange toxique» qui met les patients en danger.