Lorsque le gouverneur de Californie Gavin Newsom a annoncé des incitations en espèces pour inciter les résidents hésitants à se faire vacciner contre le coronavirus, il a souligné que tous ceux qui recevaient une dose étaient automatiquement entrés dans les bases de données de l'État.

"Nous avons vos informations dans notre système", a-t-il déclaré, faisant référence aux millions de dossiers de vaccination dans le système d'information numérique confidentiel sur la vaccination du ministère de la Santé publique de Californie, rassurant toute personne inquiète de rater sa chance de se qualifier pour un grand prix de 1,5 million de dollars pour prendre un vaccin.

Les dossiers de vaccination COVID de la Californie soulèvent des problèmes de confidentialité

Mais tout le monde n'est pas aussi rassuré.

Alors que la campagne de vaccination de l'État approche des 50 millions de doses délivrées, le flot d'informations médicales correspondantes suscite de nouvelles préoccupations en matière de confidentialité concernant les données de santé des Californiens.

Des milliers d'agences publiques, de prestataires de soins de santé, de pharmacies et d'organisations à but non lucratif se démènent pour vacciner autant de Californiens le plus rapidement possible - tout en partageant les données médicales des patients sur des plateformes numériques tierces - les principaux défenseurs de la vie privée s'inquiètent des garanties juridiques actuelles n'empêcheront pas les informations sur la vaccination de fuites ou d'être vendues sur les marchés de données.

Ils craignent également que certaines lois sur la confidentialité, telles que la loi fédérale sur la portabilité et la responsabilité en matière d'assurance-maladie, ou HIPAA, qui réglemente strictement les données sur les patients que les fournisseurs de soins de santé peuvent partager, aient été affaiblies par des dérogations d'urgence pour rendre les informations protégées plus disponibles pour lutter contre la pandémie.

Enfin, les systèmes émergents de vérification de la vaccination - dont la plupart relient l'état de santé et l'identité des patients vaccinés - génèrent également de vifs débats autour de leur conception, leur mise en œuvre et leur confidentialité.

Lee Tien, avocat principal à l'Electronic Freedom Foundation, une organisation de défense des droits à la vie privée, a déclaré qu'il n'était pas au courant d'importantes violations de données médicales à la suite de la pandémie dans le Golden State. Mais il a déclaré que les données des patients californiens sont truffées de vulnérabilités, en particulier au sein des gouvernements des villes et des comtés, qu'il a décrits comme des "rampes de sortie" potentielles pour les données de santé confidentielles.

La California Information Practices Act et la HIPAA imposent des obligations de confidentialité aux prestataires de soins de santé et aux agences d'État comme le California Department of Public Health, a déclaré Tien, mais "ne s'appliquent tout simplement pas au City of Berkeley Public Health Department, San Francisco Public Health".

Les experts en confidentialité affirment que le programme de vaccination massif de la Californie fait proliférer les données de santé parmi les entités non cliniques, y compris les employeurs, les pharmacies, les organisations de santé communautaires et les prestataires de télésanté. Beaucoup d'entre eux sont de plus en plus impliqués dans les tests, la distribution de vaccins et l'enregistrement par l'État des personnes vaccinées.

Pam Dixon, directrice exécutive du World Privacy Forum, un groupe de recherche sur les politiques de confidentialité à but non lucratif basé en Oregon, a déclaré que pendant l'administration Trump, le département américain de la Santé et des Services sociaux a émis plusieurs dérogations sans précédent aux protections HIPAA.

Par exemple, le gouvernement fédéral a levé les sanctions HIPAA contre les prestataires de soins de santé servant les patients avec des « technologies de communication quotidiennes » comme Zoom et Skype pendant la pandémie. Une autre dérogation a permis aux entrepreneurs hospitaliers tels que les fournisseurs de dossiers de santé électroniques, les services de destruction de dossiers, les services de gestion et de cloud de renoncer aux exigences HIPAA de « chiffrer les informations de santé protégées électroniques chaque fois que cela est jugé approprié ».

La coordonnatrice législative de l'American Civil Liberties Union, Becca Cramer-Mowder, a fait écho aux inquiétudes de Dixon concernant la fuite d'informations sur les patients sur les marchés des données privées à un moment où les lois fédérales sur la protection de la vie privée ont été affaiblies.

"Nous avons certainement vu des partenariats public-privé problématiques, comme, par exemple, lorsque Verily, une société sœur de Google, fournissait des services de test COVID", a déclaré Cramer-Mowder, faisant référence à un contrat d'État sans appel d'offres de 72 millions de dollars que Newsom a pris fin. plus tôt cette année. "Verily exigeait que pour les inscriptions aux tests COVID locaux dans les comtés avec lesquels il s'était associé, tout le monde devait avoir un compte Google et accepter de laisser Verily partager ses données avec ses sociétés sœurs."

Cramer-Mowder a déclaré qu'elle n'était pas au courant de relations tierces similaires avec l'État concernant les données de vaccination, mais a averti que les systèmes numériques de vérification de la vaccination actuellement développés par des entreprises privées avec la direction de responsables gouvernementaux compliqueraient la confidentialité des patients.

"Si vous ne voulez pas lier votre statut vaccinal et votre identité, il ne peut certainement pas s'agir d'un système numérique, car cela va être lié à une adresse IP ou à un numéro de téléphone ou à quelque chose qui est une information personnellement identifiable", a-t-elle déclaré.. "Même si cela révèle simplement si je suis vacciné ou non, (cela) est potentiellement révélateur d'informations à mon sujet car les attitudes sont liées à des idéologies politiques ou cela pourrait révéler que j'ai un problème de santé qui m'empêche d'être vacciné."

D'autres experts juridiques, cependant, sont moins préoccupés par les conséquences de l'utilisation des données de vaccination par les agences de santé publique. La professeure Michelle Mello de la Stanford Law School a minimisé les problèmes de confidentialité, car la Californie n'établira pas de système de vérification des vaccinations et n'aura aucune implication directe dans la fourniture de données médicales aux entreprises.

"Disons que United Airlines dit que j'obtiens des privilèges spéciaux si je suis vacciné, je dois donc télécharger ma carte de vaccin", a déclaré Mello. "Mais je ne vois pas la compagnie aérienne en parler à mon médecin ou à la clinique qui n'existe même plus – mise en place temporairement pour fournir des vaccins."

De nombreux gouvernements, entreprises et autres entités développent actuellement des programmes de vérification de la vaccination, a déclaré Dixon, dont le World Privacy Forum procède actuellement à un examen de plus de 70 systèmes de ce type à travers le monde.

"Les systèmes sont construits par de très nombreuses entités, et nous ne savons pas lesquels seront largement adoptés et obligatoires", a-t-elle déclaré. "Nous devons examiner les systèmes d'accréditation des vaccins et nous assurer que nous ne créons pas quelque chose que nous regrettons."