Le gouvernement australien a désigné la société commerciale HealthEngine pour mettre en place un système national de réservation des vaccinations COVID-19.
Sélectionnée dans le cadre d’un appel d’offres à choix limité du ministère de la Santé, la plateforme est utilisée par les fournisseurs de vaccins qui ne disposent pas de leur propre système de réservation.
Cependant, HealthEngine a des antécédents de mauvaise gestion des informations confidentielles des patients.
Problèmes précédents
En 2019, la Commission australienne de la concurrence et de la consommation a assigné HealthEngine en justice pour avoir prétendument biaisé les avis et les évaluations de cabinets médicaux sur sa plateforme et vendu les coordonnées de plus de 135 000 patients à des courtiers privés d’assurance maladie.
La Cour fédérale a condamné HealthEngine à une amende de 2,9 millions de dollars australiens en août 2020, il y a tout juste huit mois.
La secrétaire associée du ministère de la Santé, Caroline Edwards, a déclaré lors d’une audience au Sénat que les problèmes étaient de nature historique, n’étaient pas intentionnels et n’impliquaient pas le partage d’informations cliniques ou liées à la médecine.
Comment la faute présumée, qui a rapporté 1,8 million de dollars australiens à HealthEngine, pourrait-elle être considérée comme de nature historique et non intentionnelle?
Mme Edwards a ajouté que HealthEngine avait renforcé ses processus de confidentialité et de sécurité, suite aux recommandations du rapport d’enquête de l’ACCC sur les plateformes numériques. Concernant le nouveau contrat, elle a déclaré:
[…] les données dont dispose HealthEngine par le biais de ce pour quoi il a été contracté ne comprennent pas d’informations cliniques ou d’informations personnelles au-delà de ce qui est nécessaire pour que les gens réservent.
C’est plutôt rassurant, compte tenu de la plus grande quantité d’informations habituellement demandées aux patients qui prennent un rendez-vous (selon la politique de confidentialité actuelle de HealthEngine).
La liste des informations personnelles que HealthEngine peut recueillir auprès des patients prenant rendez-vous avec un professionnel de santé. Capture d’écranLa liste des informations personnelles que HealthEngine peut collecter auprès des patients prenant un rendez-vous avec un professionnel de santé.
Capture d’écran
Fait important, HealthEngine est ensuite propriétaire de ces informations. Cela soulève une question importante: pourquoi tant d’informations personnelles sont-elles demandées simplement pour prendre un rendez-vous ordinaire?
Un besoin d’informations accessibles
Bien que l’utilisation de HealthEngine pour réserver une vaccination ne soit pas obligatoire, les cabinets individuels détermineront si les patients peuvent prendre rendez-vous par téléphone, s’ils sont dirigés vers la plateforme de HealthEngine ou une autre plateforme existante.
Les données personnelles actuellement demandées par le système de réservation des vaccinations de HealthEngine sont:
Politique de confidentialité de HealthEngine pour les réservations de vaccins COVID-19, capture d’écran.
Cette liste est sensiblement plus courte que celle qui concerne les réservations non liées au COVID. Cela dit, il y a encore plus d’informations recueillies que celles qui seraient nécessaires dans le seul but d’organiser la vaccination d’un patient.
Qu’est-ce qui justifie ce système de collecte de données sur les services médicaux et de santé non liés au COVID des patients, ou sur les pages qu’ils visitent?
Un représentant du ministère de la Santé a déclaré à The Conversation que toutes les données des patients recueillies par le système de réservation des vaccins COVID étaient la propriété du ministère, et non de HealthEngine. Mais quel besoin le ministère aurait-il de collecter des données d’analyse web sur les sites visités par un patient?
Un principe administratif sous-jacent de toute plateforme de rendez-vous médical est qu’elle doit collecter le minimum de données nécessaires pour remplir son objectif.
Par ailleurs, le site web de HealthEngine révèle que la société a, comme il se doit, créé une politique de confidentialité supplémentaire pour sa plateforme de réservation de vaccins COVID-19. Cependant, celle-ci est actuellement intégrée à sa politique préexistante. Il est donc peu probable que beaucoup de personnes la trouvent, et encore moins la lisent.
Pour la transparence, la politique devrait être facile à trouver, clairement étiquetée et présentée comme distincte des politiques régulières de HealthEngine. Une page autonome serait faisable, étant donné que la valeur du contrat est supérieure à 3,8 millions de dollars australiens.
Quelles sont les protections mises en place?
Depuis le début de la pandémie, des inquiétudes ont été soulevées concernant le manque d’informations claires et de protection de la confidentialité des données accordées aux patients par les organisations commerciales.
Heureusement, il existe des garde-fous pour réglementer la façon dont les données des patients sont traitées. La confidentialité des données générées par la prestation de soins de santé (comme dans les cabinets de médecine générale, les hôpitaux, les centres de santé communautaires et les pharmacies) est protégée par les lois des États et territoires ou du Commonwealth.
Les données déclarées (de manière obligatoire) par les cliniciens vaccinateurs au registre australien de la vaccination relèvent de la loi australienne sur le registre de la vaccination de 2015 et de son amendement de février 2021.
De même, les données recueillies par le système d’enregistrement des vaccinations du ministère de la Santé sont légalement protégées par la loi sur la protection de la vie privée de 1988, tout comme les données recueillies par le système de réservation des vaccinations COVID-19 de HealthEngine, approuvé par le gouvernement.
Mais il y a encore un manque de clarté concernant ce à quoi on demande aux patients de consentir, la quantité d’informations collectées et la façon dont elles sont traitées. C’est une exigence légale et éthique essentielle que les patients aient le droit de consentir à l’utilisation de leurs informations personnelles.
Si la politique de confidentialité d’un système de réservation n’est pas claire, cela présente un risque pour les patients qui ont des difficultés avec la langue anglaise, l’alphabétisation, ou qui sont potentiellement distraits par la douleur ou l’anxiété lors de la prise de rendez-vous. Shutterstock
Des lacunes dans nos connaissances
En tant que gestionnaires de l’information sanitaire, nous avions d’autres questions concernant la décision du gouvernement de désigner HealthEngine comme fournisseur national de réservation de la vaccination COVID-19. The Conversation a posé ces questions à HealthEngine, qui les a transmises au ministère de la Santé. Elles étaient les suivantes.
- L’externalisation précipitée de la plateforme nationale de rendez-vous est-elle justifiée, compte tenu du nombre de vaccinés dont les données seront collectées?
- Comment le processus d’appel d’offres à sélection limitée du ministère a-t-il assuré l’équité?
- Qui sera propriétaire des données collectées via le système de réservation national optionnel de HealthEngine?
- Quels droits aura le propriétaire des données pour donner accès à des tiers via le partage ou la vente de données?
- Quelles informations seront données aux personnes vaccinées sur leur droit de ne pas utiliser le système de réservation des vaccins COVID-19 de HealthEngine (ou tout système de prise de rendez-vous) si elles ne sont pas à l’aise pour fournir des informations personnelles à une entité commerciale?
- Comment ces personnes seront-elles rassurées qu’elles pourront quand même recevoir un vaccin, si elles ne souhaitent pas utiliser le système?
En réponse, un représentant du ministère a fourni des informations déjà disponibles en ligne ici, ici, ici et ici. Ils n’ont donné aucune précision sur la façon dont les patients pourraient être guidés s’ils sont dirigés vers la plateforme HealthEngine mais ne veulent pas l’utiliser.
Ils ont conseillé les données collectées par HealthEngine:
ne peuvent pas être utilisées à des fins secondaires, et ne peuvent être divulguées qu’à des entités tierces, comme décrit dans la politique de confidentialité et l’avis de collecte adaptés de HealthEngine, ainsi que dans l’avis de confidentialité du ministère.
Mais selon la politique de confidentialité de HealthEngine, cela signifie que les données des patients pourraient encore être fournies à d’autres professionnels de la santé choisis par un patient, et des informations dépersonnalisées données au ministère de la Santé. La politique indique que HealthEngine peut également divulguer les informations personnelles des patients à:
- des fournisseurs d’informatique et de logiciels tiers, tels qu’Adobe Analytics.
- des conseillers professionnels tels que des avocats et des auditeurs, dans le but de fournir des biens ou des services à HealthEngine.
- les cours, les tribunaux et les organismes d’application de la loi, comme l’exige la loi ou pour défendre les droits légaux de HealthEngine et les droits de l’homme.
- d’autres parties, selon le consentement du patient, ou si la loi l’exige.
Idéalement, les réponses à nos questions auraient permis de faire la lumière sur la mesure dans laquelle la vie privée des patients a été prise en compte dans la décision du gouvernement. Mais les incohérences entre ce qui est présenté dans les politiques de confidentialité et la réponse du ministère de la Santé n’ont pas permis de clarifier ce point.
Images utilisées avec l’aimable autorisation de Pexels/Christina Morillo.
Cet article est republié depuis The Conversation sous une licence Creative Commons. Lire l’article original.