De nombreuses lois régissent la confidentialité des informations médicales. Bien qu’ils offrent une certaine protection, dans l’ensemble, ils fonctionnent davantage dans l’intérêt d’assurer la circulation de l’information dans l’ensemble de l’industrie des soins de santé que de garantir la vie privée des personnes.
En outre, ces lois ne s’appliquent généralement qu’aux informations médicales personnelles entre les mains de types spécifiques d’entités, comme votre médecin ou une autre entité de soins de santé. Ainsi, par exemple, les informations que vous donnez à un réseau social ou à un moteur de recherche, à une salle de discussion ou à une discussion sur un site Web au sujet d’une maladie ne sont souvent pas protégées par les lois en vigueur sur la protection de la vie privée médicale.
La Health Insurance Portability and Accountability Act (HIPAA) est l’ensemble de référence des réglementations fédérales régissant les informations médicales. Il fait trois choses :
- Crée une structure pour la façon dont les renseignements personnels sur la santé peuvent être divulgués et établit les droits des personnes à l’égard de leurs renseignements sur la santé.
- Établit des normes de sécurité pour la maintenance et la transmission des informations électroniques sur les patients.
- Nécessite un format et une structure de données communs pour l’échange électronique d’informations sur la santé.
HIPAA ne réglemente que le secteur de la santé et ne s’applique donc qu’à ce que la loi considère comme des « entités couvertes » et leurs « associés commerciaux ». »Les catégories d’entités couvertes sont les suivantes: fournisseur de soins de santé, régime de santé (assureur-maladie ou HMO) et centre d’échange de soins de santé. Un associé commercial (BA) gère les informations de santé protégées (PHI) pour le compte d’une entité couverte. Si vous divulguez vos informations médicales à quelqu’un d’autre, HIPAA ne s’appliquera pas.
En outre, il existe de nombreuses exceptions pour la divulgation d’informations médicales sans votre consentement, ce qui peut également signifier à votre insu.
- L’exigence d’un consentement écrit pour divulguer des renseignements sur la santé mentale et le traitement de la toxicomanie ne s’applique qu’aux établissements financés par le gouvernement fédéral, et non aux établissements privés.
- Les informations médicales personnelles sont divulguées sans consentement à de nombreuses fins de déclaration de santé publique autorisées et obligatoires, comme la surveillance des maladies et dans les cas de maltraitance d’enfants et d’aînés et de violence domestique.
- Les informations sur la santé peuvent être divulguées dans le cadre de procédures judiciaires et administratives par voie d’assignation ou dans le cadre d’un processus de découverte dans le cadre d’un litige.
- Il existe des exceptions pour l’application de la loi, pour les informations de santé demandées par citation à comparaître ou ordonnance d’un tribunal, ou dans le cadre d’une enquête ou d’un signalement d’un crime.
- Les divulgations sont autorisées pour des fonctions gouvernementales spécialisées, y compris les opérations de sécurité nationale et de renseignement.
- Les renseignements sur la santé peuvent être communiqués à un employeur qui paie la couverture maladie des employés, mais ils doivent être strictement séparés de tous les autres dossiers des employés.
- Les renseignements personnels sur la santé ne peuvent être vendus sans votre consentement, sous réserve d’exceptions concernant la santé publique, la recherche ou dans le cadre de la vente, du transfert, de la fusion ou de la consolidation de l’entité couverte qui détient les données.
- Les renseignements sur la santé non carcérale des détenus peuvent être communiqués à une prison où ils sont incarcérés.
- Des renseignements personnels sur la santé peuvent être divulgués si vous faites une demande d’intérêt public.
- Les renseignements sur la santé peuvent être divulgués lors du processus de demande d’indemnisation des accidents du travail.
La partie de HIPAA qui traite de la confidentialité des informations s’appelle la Règle de confidentialité. Il autorise la divulgation large et non consentie de données de santé personnelles pour le traitement, le paiement et les opérations de soins de santé de routine, tout en exigeant un consentement écrit pour les informations considérées comme sensibles, comme les notes de psychothérapie ambulatoire. Votre consentement est également nécessaire pour que vos informations de santé soient utilisées pour tout type de marketing autre que les rappels de médicaments sur ordonnance.
Vous avez certains droits en vertu de la loi HIPAA. Vous avez le droit d’être informé de vos droits concernant vos propres informations médicales. Vous avez également le droit d’accéder et de recevoir des copies de vos dossiers, de demander des corrections et d’être informé des violations de données. Les informations sur les traitements que vous payez de votre poche peuvent ne pas être divulguées aux assureurs. Actuellement, vous ne pouvez savoir à qui vos informations de santé ont été divulguées qu’à des fins autres que le traitement, le paiement et les opérations de soins de santé.
Des réglementations fédérales plus strictes que la loi HIPAA – connue sous le nom de « Partie 2 » — s’appliquent à la divulgation et à la consommation de dossiers de patients victimes d’abus d’alcool et de drogues conservés dans le cadre de l’exécution de tout programme d’abus d’alcool et de drogues assisté par le gouvernement fédéral.
GINA (la Loi sur la non-discrimination à l’égard de l’information génétique) interdit la discrimination génétique dans le domaine de l’assurance-maladie et de l’assurance-vie et de l’emploi. Cependant, GINA a quelques trous de boucle majeurs: elle ne couvre pas les soins de longue durée ou l’assurance automobile avec des prestations de santé, par exemple. HIPAA a récemment désigné l’information génétique comme PHI, de sorte qu’elle dispose désormais des protections supplémentaires — et des exceptions — qu’HIPAA offre. En savoir plus sur la confidentialité des informations génétiques.
La règle commune s’applique à la recherche financée par le gouvernement fédéral sur des sujets humains; les établissements de recherche privés peuvent accepter volontairement de se conformer aux normes fédérales. Entre autres choses, la Règle commune établit des normes explicites pour le consentement éclairé des sujets de recherche, bien qu’un comité d’éthique puisse déroger à ces exigences. La portée du consentement écrit d’un sujet de recherche est confuse; le consentement peut être soit pour un projet spécifique, soit suffisamment large pour inclure une gamme de projets de recherche futurs, à condition que le sujet soit « adéquatement” informé de ces recherches futures.
Lois spécifiques à la Californie
Les lois californiennes sur la vie privée médicale, principalement la Loi sur la confidentialité des informations médicales (CMIA), les sections sur les violations de données du Code civil et les sections du Code de santé et de sécurité, offrent des protections de type HIPAA bien que la terminologie soit différente. HIPAA crée un « plancher » fédéral et s’applique là où il y a une lacune dans la loi californienne. HIPAA prévoit également expressément que les lois plus strictes des États l’emporteront ou l’emporteront sur HIPAA.
La loi californienne est plus stricte en exigeant une autorisation pour la divulgation de données sur les MST (bien que des tests de sida positifs doivent être signalés), le traitement de la toxicomanie et les notes de psychothérapie ambulatoire.
Les lois californiennes sur la confidentialité médicale s’appliquent aux fournisseurs du dossier de santé personnel (PHR) d’un individu, tandis que la loi HIPAA ne s’applique que si le vendeur est un associé d’une entité couverte.
La loi fédérale n’accorde aucun droit individuel de poursuite en cas de violation de données (seul un procureur général peut intenter une action), mais la loi californienne le fait.
Cela signifie que la loi californienne établit une norme plus élevée en matière de confidentialité médicale, et que les individus en Californie bénéficient de protections juridiques plus solides et de plus de moyens de responsabiliser les entités qui violent leur vie privée médicale.
Autres lois californiennes qui offrent une protection supplémentaire aux informations médicales:
- La Loi sur l’information sur l’assurance et la protection de la vie privée (LPPA) interdit la divulgation non autorisée de renseignements personnels, y compris les dossiers médicaux, recueillis dans le cadre de demandes d’assurance et de la résolution de réclamations. Les assureurs doivent vous donner un avis sur les pratiques de confidentialité qui vous indique avec qui vos informations peuvent être partagées et vos droits à en restreindre le partage.
- La Loi sur les pratiques d’information (IPA) s’applique aux agences de l’État. Cela limite leur collecte, leur maintenance et leur distribution de renseignements personnels, y compris des renseignements médicaux. Il donne également aux individus le droit d’examiner les informations personnelles contenues dans les dossiers des agences d’État, de savoir qui y a accédé et de demander des modifications aux informations inexactes ou non pertinentes.
- La Loi sur la protection de la vie privée en ligne s’applique aux sites Web qui collectent des informations personnelles identifiables de toute nature, y compris des informations médicales. La « protection » est ici un terme impropre, car la principale exigence de la loi est que les sites Web affichent « de manière visible » une politique de confidentialité qui informe les utilisateurs des données que le site collecte et avec qui il partage des données. Lire la suite.
Pour en savoir plus sur les lois fédérales et californiennes concernant la confidentialité des informations médicales, consultez l’aperçu du CalOHII (California Office of Health Information Integrity) concernant les lois de Santé fédérales et d’État Relatives aux dossiers, à la Confidentialité, à la Sécurité et au Droit d’accès des Patients.
Parce que les réglementations qui couvrent les informations de santé s’adressent davantage aux personnes qui traitent les données (entités couvertes) qu’aux données elles-mêmes, les données médicales qui atterrissent en dehors des murs de la HIPAA et d’autres lois connexes n’ont généralement aucune protection spécifique de la vie privée médicale.
Une grande partie de l’exposition provient des activités en ligne des individus. Cela peut inclure des informations que vous rendez publiques vous-même par le biais du chat ou de la participation à des groupes d’affinité basés sur des maladies ou des conditions médicales, ou par le biais des médias sociaux. C’est un problème de plus en plus grave, car la technologie facilite le partage et le stockage des informations médicales.
De nombreuses applications de santé et de fitness (mobiles et en ligne) collectent également des données médicales ou similaires et facilitent et encouragent leur partage.
Il existe également un ciblage comportemental constant et calibré à l’infini qui peut, à votre insu, connecter des données de clics anonymisées à des informations médicales identifiables.
Le résultat final ? Un patchwork de lois qui laissent trop souvent des informations médicales sensibles sans protection.