Confidentialité des données de sommeil : Comment protéger vos informations

Sleep Data Privacy Concerns: How to Keep Your Information Safe

image : ambercoin via Pixabay  

 

En matière de développement technologique, les lois et réglementations accusent souvent un retard par rapport au rythme du progrès, mais des politiques sont souvent mises en place pour protéger les personnes et leurs informations contre les atteintes. Bien que des experts en droits privés aient quelques préoccupations quant à la manière dont les informations personnelles, telles que les données de santé et de thérapie, sont transmises et consultées en ligne, la bonne nouvelle est que les patients conservent toujours le droit à la vie privée. Rien n'est sécurisé à 100 % en ligne, mais tant que vous suivez quelques précautions de sécurité, que vous connaissez vos droits et vos options, et que vous suivez vos données, vous pouvez garder le contrôle de ces dossiers sensibles et prendre vos propres décisions concernant leur utilisation ou leur transmission. Comme pour la plupart des mesures de sécurité en ligne, cela commence par quelques protections assez simples, mais la connaissance est, essentiellement, la première et la plus importante exigence en matière d'autoprotection.  

 

Quelles données sont collectées et comment

La première étape consiste à déterminer quelles données sont collectées par votre modèle spécifique, et où elles sont stockées ou transmises. Selon l'appareil et les paramètres spécifiques, les données peuvent être transmises via une connexion Bluetooth, stockées sur une carte SD ou envoyées à l'aide d'un modem interne ou de capacités sans fil mobiles. Les machines dotées de capacités sans fil téléchargeront des informations sur l'utilisation du patient vers des plateformes cloud qui présentent les données sous divers formats. Pour créer un compte, vous saisirez un nom d'utilisateur et un mot de passe, puis vous pourrez ajuster les paramètres selon vos préférences. Il est important de savoir que lorsque vous enregistrez votre produit auprès du fabricant, le consentement à l'utilisation des données de l'appareil fait souvent partie du processus. Votre compte sur le site Web du fabricant recueillera également certaines informations personnelles, et chaque site a ses propres conditions d'utilisation qui impliquent le consentement à certaines divulgations. Celles-ci peuvent varier d'un site Web à l'autre, et il est toujours bon de lire les conditions avant d'utiliser un service en ligne. Les types d'informations recueillies comprendront souvent les éléments suivants :

  • Nom, sexe et date de naissance
  • Pays de résidence
  • Numéro de téléphone et adresse e-mail
  • Produits que vous utilisez pour le traitement (appareil et masque)
  • Date de début du traitement
  • Votre IAH de base (Index d'Apnée-Hypopnée)

Après le début de votre traitement, les données de traitement nocturnes de votre appareil seront soit stockées en interne, par exemple sur une carte SD, soit, s'il s'agit d'un modèle plus récent, synchronisées avec votre compte en ligne. Ces informations comprennent généralement :

  • Heures de début et de fin
  • Heures de mise et de retrait du masque
  • Informations sur les fuites (max, moyenne, médiane, percentiles)
  • Scores de sommeil
  • Paramètres de l'appareil
  • IAH pour chaque session

Remarque : certains peuvent inclure des informations supplémentaires sur la santé et le rythme respiratoire lorsqu'elles sont liées à l'efficacité du traitement, etc.

Les fabricants auront leurs propres politiques de confidentialité concernant vos informations personnelles et vos données, mais le consentement doit être donné ou implicite par le biais des conditions d'utilisation. Philips Respironicspar exemple (centrée en Australie), indique sur son site Web qu'elle informera le patient et demandera un « consentement explicite » avant de collecter des données personnelles sensibles. Alors que ResMed explique dans sa politique de confidentialité que la fourniture de toute « information sensible personnellement identifiable telle que vos données de sommeil et informations de traitement » constitue un consentement exprès au traitement des données conformément à ses politiques. Les données personnelles utilisées par les fabricants sont cryptées pendant le transit, ainsi que lors de toute utilisation du site ou du service. Elles restent également cryptées pendant le stockage sur les serveurs de l'entreprise. ResMed, par exemple, utilise l'algorithme de chiffrement AES ainsi que ses propres contrôles de sécurité et de confidentialité pour protéger les données et se conformer à toutes les lois applicables en matière de protection des données. ResMedPhilips RespironicsFisher and Paykel, et d'autres fabricants d'appareils de PPC ont des déclarations similaires dans leurs politiques de confidentialité contre la vente ou la distribution de données personnelles. En tant qu'entreprises internationales, elles peuvent cependant partager des données avec des sous-traitants ou des filiales utilisées pour analyser, commercialiser ou traiter des informations en vrac. Ces entreprises sont contractuellement liées aux mêmes politiques que celles spécifiées dans leurs contrats de service. De plus, comme ResMed le prévient dans sa déclaration de politique, toute « vente ou vente partielle » de l'entreprise ou de ses intérêts peut inclure les données personnelles des clients. Les fabricants peuvent également partager des données non identifiables, et c'est un autre domaine d'utilisation des données qui a fait l'objet de critiques de la part d'experts en sécurité exigeant que les individus conservent plus de contrôle sur leurs données, qu'elles soient utilisées de manière anonyme ou non. ResMed, comme d'autres entreprises, permet aux clients de limiter l'utilisation de leurs données, mais ils doivent contacter l'entreprise avec une demande formelle. De la même manière, les patients peuvent demander la correction ou la suppression de toute information personnelle les concernant une fois qu'un compte est créé. L'un des plus grands problèmes est le manque de connaissances sur la façon dont tout cela fonctionne. Tout le monde n'a pas le temps ou l'incitation à lire une politique de confidentialité ou une page de conditions d'utilisation avant de créer un compte ou de passer une commande. Mais si ces domaines sont des sujets de préoccupation, il n'y a aucune bonne raison de les ignorer. Avant de pouvoir protéger vos données, vous devez savoir qui les collecte, où elles sont collectées et comment elles sont utilisées.

 

Données de conformité

Alors, qu'est-ce que les données de conformité ? Également appelées « données d'utilisation », les données de conformité sont un résumé des données énumérées ci-dessus à des fins de confirmation et d'évaluation de la bonne observance des traitements prescrits. Les compagnies d'assurance maladie utilisent ces données pour déterminer si les dépenses d'une machine CPAP sont nécessaires ou si elles doivent être maintenues. Dans certains cas, les assureurs exigeront d'abord une machine louée afin de prouver la conformité avant qu'un achat ne soit effectué. En réponse à ces exigences des assureurs, les fabricants d'appareils ont facilité l'accès des compagnies aux données nécessaires pour procéder à une évaluation, mais certaines réactions négatives sont survenues en réponse aux limitations des exigences, généralement basées sur les directives des Centers for Medicare and Medicaid pour la thérapie par appareil PPC (au moins 4 heures par nuit pendant 70 % des nuits au cours d'une période initiale de trente jours). Certains ont même exprimé des inquiétudes quant à l'utilisation des données pour refuser aux patients un traitement vital, tandis que les assureurs soulignent que la conformité à la thérapie par PPC dépasse à peine les 50 %. Il s'agit d'un débat en cours qui nécessite un examen plus approfondi pour garantir que les besoins des patients sont satisfaits de manière juste et légale, mais la controverse autour des pratiques d'assurance maladie et de la couverture des patients ne devrait pas prendre fin de sitôt. Bien que le fait de fournir aux patients une rétroaction immédiate sur le traitement semble avoir des influences positives sur la conformité globale, il existe des préoccupations légitimes concernant la confidentialité et la sécurité. Il appartient simplement au patient de décider si les risques encourus sont raisonnables ou non. Certains patients apprécient la commodité et l'immédiateté des transmissions de données, car tout médecin ou prestataire de soins de santé peut vérifier leurs progrès et les résultats de leur thérapie sans se rendre au cabinet. D'autres patients peuvent préférer attendre et partager leurs données à l'aide d'une carte SD simplement pour la tranquillité d'esprit que cela leur procure en gardant le contrôle d'informations sensibles. Il appartient au patient de prendre cette décision.

 

La controverse

Les appareils de PPC modernes, capables de collecter des données, constituent une nouvelle étape vers des soins plus efficaces et personnalisés, et peuvent même améliorer l'observance, mais cela soulève également des préoccupations à un moment où les données personnelles sont un sujet controversé. Le problème est double : il implique à la fois la vie privée et la sécurité. Les services cloud, l'Internet des objets (IoT) et les appareils sans fil peuvent être sujets à des vulnérabilités de sécurité, et bien que des politiques strictes et de nouvelles lois contribuent à protéger les informations, il y aura toujours des risques de violations de données, de perte de données, d'activités malveillantes et de pratiques déloyales de la part de ceux qui sont en possession de vos informations. Des poursuites judiciaires ont été intentées en raison des complications liées à l'utilisation des données des appareils de PPC pour prouver la conformité. Et des médecins et des experts juridiques ont soulevé des inquiétudes quant au fait que les données pourraient être utilisées pour discriminer les patients ou augmenter leurs coûts.

Il convient de souligner ici que votre compagnie d'assurance aura accès à tous vos dossiers médicaux, y compris les données que vous donnerez finalement à votre médecin si vous avez opté pour l'utilisation de cartes de données pour éviter les transmissions sans fil. La loi sur la portabilité et la responsabilité de l'assurance maladie (HIPAA) de 1996 exige que les compagnies d'assurance, les prestataires de soins de santé et les fournisseurs d'équipement maintiennent les plus hauts niveaux de sécurité disponibles pour les données personnelles, mais elle ne leur interdit pas de partager des données avec d'autres entités NON couvertes par l'HIPAA. Une fois le consentement donné ou implicite par l'utilisation de leurs services, ils ont le droit de partager tant qu'ils utilisent les précautions décrites dans la loi américaine sur la vie privée. Ce qui inquiète certains médecins, c'est que les décisions de traitement sont prises arbitrairement en utilisant uniquement les données. L'évaluation d'un ensemble de données aussi important avec des conséquences de vie ou de mort peut nécessiter plus qu'un responsable des opérations d'un régime de santé pour fournir la meilleure décision de traitement. Si tout cela vous inquiète, une carte de données peut être utilisée à tout moment. Il suffit d'éteindre l'adaptateur sans fil de votre appareil ou de passer en mode veille pour arrêter les transmissions de vos données. Assurez-vous simplement de saisir les bons paramètres pour que vos données soient stockées et sécurisées.

 

Lois sur la protection de la vie privée

La controverse sur les données de la thérapie PPC s'inscrit dans un débat plus large sur les droits à la vie privée en général, et des lois comme la récente California Consumer Protections Actpromulguée l'année dernière, ont renforcé les protections des informations privées et personnelles. L'emplacement des données stockées et la législation qui protège ces données, ainsi que la façon dont les données sont protégées pendant la transmission, sont devenus des questions importantes qui doivent être examinées attentivement pour un ensemble de normes plus efficaces à l'échelle mondiale. Mais en l'état actuel des choses, toute partie détenant des informations privées d'autrui doit s'assurer que toutes les mesures raisonnables sont prises pour protéger les informations contre l'utilisation abusive, la falsification, la perte ou la divulgation. Il est important de noter que les droits résident en grande partie chez le patient, et l'accès aux informations concernant une personne doit en général être fourni lorsqu'elle le demande. Comme de nombreuses lois sur la protection de la vie privée dans d'autres pays, la force de l'HIPAA réside dans son accent sur le consentement. La loi protège les informations de santé personnelles dans la plupart des circonstances, mais les fabricants ne sont pas couverts par ses stipulations. Plus précisément, l'HIPAA couvre les données collectées par les prestataires de soins de santé, les compagnies d'assurance et les systèmes de facturation, mais les autres entités impliquées dans le traitement ou le stockage des données sont limitées uniquement par leurs contrats et l'exigence de la loi en matière de mesures de sécurité élevées dans le traitement des données. Plus tôt cette année, la eHealth Initiative Foundation et Manatt Health ont publié un exposé appelant à la création d'un cadre de valeurs pour mieux protéger les informations de santé collectées, stockées et utilisées par des organisations non couvertes par les règles de l'HIPAA. L'exposé, intitulé Risky Business? Sharing Data with Entities Not Covered by HIPAAaborde la question de l'HIPAA et du traitement des données, ainsi que les forums et applications en ligne où des zones grises apparaissent entre les entités partageant des données. Parallèlement, un certain nombre d'organisations de défense des droits privés recherchent des conseils similaires concernant la propriété des données, espérant mettre fin à l'utilisation gratuite de données agrégées qui peuvent être retracées jusqu'à l'individu. C'est un domaine en rapide évolution, mais l'élan actuel en faveur des droits personnels à l'information commence à montrer des progrès.

 

Confidentialité transfrontalière

Il est également important de comprendre que lorsque des informations sont transmises au-delà des frontières nationales, les lois de votre propre pays peuvent ne pas s'appliquer. Ce problème peut survenir si, par exemple, une entreprise de logiciels utilise des serveurs situés dans un autre pays (c'est-à-dire un pays autre que celui où réside le propriétaire des données). Pour la plupart, les autres pays où se trouvent les fabricants d'appareils, par exemple l'Australie, ont des protections similaires, sinon plus strictes, pour les données personnelles. Mais même dans le cas de services contractuels provenant de zones à protections limitées, des entreprises comme ResMed et Philips Respironics incluront des protections dans le contrat lui-même.

 

Meilleures pratiques pour les patients

Pour garantir la sécurité de vos informations, la première et la plus importante étape est d'y regarder à deux fois avant de vous lancer. Tout appareil ou application que vous utilisez doit d'abord être vérifié pour toute transmission de données par défaut. Une fois que vous commencez le traitement, les données commenceront déjà à être téléchargées, il faut donc le faire en premier par précaution. Si vous n'êtes pas sûr des paramètres par défaut, apportez votre appareil à votre médecin ou au détaillant pour vérifier tous les paramètres et apporter les modifications nécessaires pour correspondre à vos préférences. Et rappelez-vous, il est facile de simplement cliquer sur « J'accepte » lors de la configuration de comptes sur des sites Web sans lire et comprendre pleinement les politiques impliquées. Ces détails méritent votre temps de lecture et de compréhension, surtout si vous avez des préoccupations en matière de confidentialité. En adoptant ces quelques mesures de protection simples, vous pouvez mieux protéger vos données personnelles et conserver les droits à la vie privée que vous méritez en tant que citoyen américain :

1. Vérifiez toujours les fonctions automatisées d'un appareil ou d'une application nouvellement acheté. Dans de nombreux cas, les informations sont immédiatement transmises à des tiers intéressés. Si vous n'êtes pas sûr, désactivez le Wi-Fi jusqu'à ce que vous en ayez besoin.

2. Utilisez toujours un programme antivirus sur les appareils compatibles.

3. Lorsque vous vous inscrivez sur des sites Web ou des applications, assurez-vous d'utiliser des mots de passe uniques avec une variété de lettres et de symboles.

4. Lisez toujours le texte intégral des politiques de confidentialité des services que vous utilisez.

5. Si vous utilisez un appareil mobile pour surveiller votre sommeil, assurez-vous d'activer la protection par mot de passe pour l'écran d'accueil.

6. Obtenez des mises à jour régulières pour tout logiciel, application ou accessoire d'appareil PPC impliqué dans votre thérapie, car les mises à jour sont souvent liées à la sécurité et peuvent protéger vos données et votre équipement des menaces les plus récentes.

7. Soyez prudent lorsque vous fournissez des informations personnelles, surtout en ligne. Ne jamais lire, ouvrir ou cliquer sur des e-mails ou des messages texte dont vous n'êtes pas sûr.

Encore une fois, si vous n'êtes pas sûr à 100 %, optez pour une carte SD. Vous pouvez toujours passer aux transmissions sans fil plus tard, après avoir examiné la question et pris toutes les précautions nécessaires.

Si vous prenez ces mesures au sérieux et que vous les suivez, vous devriez être en mesure de garder vos données aussi sécurisées que possible dans le monde technologique en évolution rapide dans lequel nous vivons. Les menaces sont réelles, mais vos droits le sont aussi. Gardez cela à l'esprit, et vous devriez pouvoir dormir plus facilement, ce qui est l'objectif premier.  

 

Sources

Bloomberg Law - https://news.bloomberglaw.com/health-law-and-business/is-your-sleep-apnea-machine-snitching-to-your-insurer

Canadian Respiratory Journal - https://www.ncbi.nlm.nih.gov/pmc/articles/PMC2679572/

Digital Information Law - https://digitalinfolaw.com/what-you-should-know-about-anonymous-aggregated-data-about-you/

eHealth Initiative - https://www.ehidc.org/resources/risky-business-sharing-data-entities-not-covered-hipaa

HIPAA Journal - https://www.hipaajournal.com/concern-sharing-health-data-non-hipaa-covered-entities/

Journal of AHIMA - https://journal.ahima.org/2018/12/05/patients-frequently-unaware-that-many-medical-devices-gather-share-data/

Infosec - https://resources.infosecinstitute.com/how-to-safeguard-against-the-privacy-implications-of-cloud-computing/#gref

National Public Radio - https://www.npr.org/sections/health-shots/2018/11/21/669751038/you-snooze-you-lose-how-insurers-dodge-the-costs-of-popular-sleep-apnea-devices

Propublica - https://www.propublica.org/article/you-snooze-you-lose-insurers-make-the-old-adage-literally-true

ResMed - https://myair.resmed.com/myAir-mobile_privacy-policy.aspx

Reuters - https://legal.thomsonreuters.com/en/insights/articles/understanding-data-privacy-and-cloud-computing

Wiley Online - https://onlinelibrary.wiley.com/doi/full/10.1111/resp.13183

Article précédent Article suivant