Toutes les grandes chaînes de pharmacies fournissent au gouvernement des dossiers médicaux sans mandat
(techdirt.com)- Une enquête du Congrès révèle que les principales chaînes de pharmacies américaines transmettent des dossiers médicaux sensibles aux forces de l’ordre sans exiger de mandat
- CVS Health, Walgreens Boots Alliance, Cigna, Optum Rx, Walmart, Kroger, Rite Aid et Amazon Pharmacy peuvent fournir, sur simple assignation, des informations pouvant inclure l’historique d’utilisation de médicaments sur ordonnance et l’état de santé
- CVS, Kroger et Rite Aid ont répondu qu’ils n’effectuaient même pas de revue juridique des assignations émises par des agences gouvernementales, ce qui montre une procédure particulièrement faible pour vérifier la légalité des demandes
- La HIPAA empêche les divulgations non autorisées à des parties privées, mais les demandes des forces de l’ordre peuvent relever de l’exception required by law, ce qui rend difficile d’empêcher la transmission sans mandat
- Le sénateur Ron Wyden et les représentantes Pramila Jayapal et Sara Jacobs appellent le HHS à renforcer les règles HIPAA afin d’obliger les pharmacies à exiger un mandat
L’angle mort des dossiers médicaux créé par la doctrine du tiers
- Les protections du quatrième amendement américain fonctionnent souvent faiblement face à la Third Party Doctrine
- Les informations qu’une personne partage avec une entreprise privée peuvent, qu’il s’agisse ou non d’un partage volontaire, être obtenues par le gouvernement sans mandat dans certains cas
- C’est pourquoi des projets de loi visant à ajouter une protection du quatrième amendement aux données de localisation de téléphones collectées par les applications, ainsi que des débats devant les tribunaux et au Congrès pour ajuster la doctrine du tiers, se poursuivent depuis des années
- Le gouvernement cherche à obtenir le plus d’informations possible sans contrôle judiciaire, et les entreprises privées peuvent juger moins coûteux de remettre les données que de contester ces demandes en justice
La pratique des grandes chaînes de pharmacies consistant à fournir des données sans mandat
- Une enquête du Congrès relayée par Ars Technica a confirmé que les grands acteurs américains de la pharmacie de détail fournissaient effectivement au gouvernement des données médicales sensibles sans exiger de mandat
- Les 8 pharmacies visées par l’enquête sont les suivantes
- CVS Health
- Walgreens Boots Alliance
- Cigna
- Optum Rx
- Walmart Stores, Inc.
- The Kroger Company
- Rite Aid Corporation
- Amazon Pharmacy
- Toutes ont répondu qu’elles n’exigeaient pas de mandat lorsque les forces de l’ordre demandaient des dossiers pouvant inclure l’historique de médicaments sur ordonnance d’une personne ou son état de santé
- À la place, elles fournissent ces informations sur simple assignation, que les agences gouvernementales peuvent émettre sans examen ni approbation d’un juge
Des différences dans la revue juridique
- CVS, Kroger et Rite Aid ont répondu au Congrès qu’ils ne procédaient pas à une revue juridique des assignations émanant d’agences gouvernementales
- Ces chaînes semblent considérer qu’une demande est valide dès lors qu’elle porte le nom d’une autorité publique
- D’autres chaînes de pharmacies font au moins intervenir un avocat dans le traitement des demandes de données
Pourquoi la HIPAA ne constitue pas une protection suffisante
- La HIPAA est une loi destinée à empêcher que des informations médicales soient divulguées sans consentement à des parties privées non autorisées
- Les demandes provenant des forces de l’ordre sont généralement traitées comme relevant de l’exception required by law
- Cette exception peut s’appliquer même si les avocats de la pharmacie n’ont pas examiné la demande, ou s’il n’est pas certain qu’une demande d’informations médicales sensibles soit réellement justifiée
- Sans modification de la loi, une solution évoquée serait que le HHS modifie les règles HIPAA afin d’accorder à ces données une présomption de confidentialité
Les demandes des élus au HHS
- Le sénateur Ron Wyden et les représentantes Pramila Jayapal et Sara Jacobs ont envoyé une lettre au secrétaire du HHS Xavier Becerra pour demander un renforcement des règles HIPAA
- La lettre indique que les pharmacies devraient exiger un mandat et, si les forces de l’ordre demandent des dossiers médicaux de patients sur simple assignation, être contraintes de saisir un tribunal pour en obtenir l’exécution
- Un précédent en matière de confidentialité des e-mails datant de 2010 est également cité à titre de comparaison
- Après qu’une cour fédérale d’appel a reconnu une attente raisonnable de confidentialité pour les e-mails, de grands fournisseurs de messagerie gratuite comme Google, Yahoo et Microsoft ont commencé à exiger un mandat avant de divulguer les e-mails
- Les élus rappellent qu’ils avaient déjà alerté Becerra en juillet, après la décision Dobbs de juin 2022, en demandant au HHS de mettre en place des protections plus fortes pour empêcher que des personnes ayant obtenu des produits contraceptifs soient poursuivies
Promesses de transparence et questions encore ouvertes
- Certaines entreprises ont promis d’être plus transparentes sur leur coopération avec le gouvernement
- CVS, Walgreens et Kroger ont promis de publier des rapports réguliers sur les demandes de données émanant du gouvernement
- Amazon va plus loin en indiquant qu’il informe ses clients lorsque le gouvernement demande leurs données
- Les dossiers d’ordonnances sont des informations protégées par la loi fédérale vis-à-vis de toute personne autre que celles explicitement autorisées par le patient
- La question demeure de savoir si le gouvernement peut traiter les dossiers d’ordonnances des clients comme un livre ouvert au nom de la doctrine du tiers
- Un changement est possible par des mesures volontaires des pharmacies et du gouvernement, ou par une injonction législative
1 commentaires
Avis de Hacker News
J’ai travaillé sur des enquêtes consacrées aux antalgiques opioïdes, et tout usage de médicaments sur ordonnance détourné de leur véritable finalité médicale entrait dans le champ d’investigation.
Il arrivait que des médecins vendent des médicaments prescrits à des fins non médicales, ou que des soignants en volent, mais la plus grande part relevait de la fraude à l’ordonnance.
Il s’agissait de vols ou de falsifications d’ordonnances médicales ; quand une personne en bonne santé d’une vingtaine d’années venait chercher 90 comprimés d’Oxycodone 30 mg, cela correspondait en général à une prescription du type « douleur extrême, probablement en train de mourir », donc la pharmacie ou le médecin appelait pour vérifier.
L’État disposait déjà de toutes les informations de prescription via le Prescription Monitoring Program, et un médecin pouvait recevoir sous forme de tableur la liste des ordonnances délivrées sous son nom au cours des N derniers jours.
Si le Dr Adams disait n’avoir jamais prescrit quoi que ce soit à Bill, on recherchait Bill pour trouver des prescriptions similaires et suspectes au nom de Charles ou Daniels, puis ces médecins confirmaient eux aussi qu’il ne s’agissait pas de leur patient, ce qui permettait de remonter à davantage de fausses ordonnances.
Il existe un risque d’abus, mais même légalement, on ne pouvait pas entrer dans une pharmacie et réclamer des documents au hasard, ni chercher n’importe quel nom dans le PMP ; en général, un médecin ou un pharmacien signalait un élément suspect, puis on vérifiait les registres de l’État, on faisait confirmer par le médecin, et on obtenait une preuve papier dont on savait déjà qu’elle était fausse.
Quelques fois, un signal d’alerte s’est déclenché, j’ai appelé le médecin, qui m’a répondu « prescription normale », et l’affaire s’est arrêtée là ; nous n’avions pas besoin de savoir pourquoi le patient prenait des stupéfiants, seulement de vérifier s’il y avait fraude ou non.
La loi de l’État nous donnait le droit de demander sans mandat des dossiers de pharmacie comme les ordonnances et les registres de retrait ; la plupart des pharmaciens les fournissaient immédiatement, tandis que certains voulaient vérifier si cela violait la HIPAA et si c’était légal.
Cela dit, il est arrivé plusieurs fois que des employés commencent à me remettre des documents avant même que je me sois identifié, ce qui m’a inquiété.
En résumé, consulter à l’aveugle le dossier médical de quelqu’un sans soupçon précis et réel d’infraction est très illégal ; s’il y avait une raison de consulter les dossiers, c’est que quelqu’un dans le milieu médical avait signalé un élément suspect.
Le fait que les forces de l’ordre enfreignent souvent la loi est largement documenté, et cela montre plutôt à quel point les atteintes au quatrième amendement et à la vie privée des patients sont devenues normalisées.
Certains proposent de changer cette architecture pour exiger un mandat ; même si une agence donnée a agi de bonne foi, il existe environ 18 000 organismes chargés de l’application de la loi aux États-Unis, et un nombre non négligeable d’entre eux ont un long historique d’accès excessif et inapproprié aux dossiers.
Lorsqu’il s’agit d’accéder à des informations privées et confidentielles, un mandat avec contrôle judiciaire constitue un point de départ raisonnable.
Dans ce cas, la marge d’abus paraît énorme.
Pour les bases commerciales comme LexisNexis, on nous disait surtout de ne pas gaspiller les recherches parce qu’elles coûtaient de l’argent ; pour les systèmes publics comme les vérifications de casier judiciaire, en revanche, on insistait fortement sur le fait qu’une consultation sans motif légal légitime était illégale, et on nous demandait de consigner la raison de chaque recherche.
Les supports de formation incluaient même un article sur un ancien policier emprisonné pour avoir indûment utilisé une base de données de casiers judiciaires, et, une fois par an, lors d’un audit, il fallait justifier certaines recherches.
Tous les systèmes comportent des erreurs et peuvent être détournés par des acteurs malveillants, et ils doivent faire l’objet d’une analyse coûts-bénéfices ; mais je trouve légitime, dans les bonnes circonstances, avec les lois appropriées ainsi que des contre-pouvoirs, qu’un dispositif permette aux forces de l’ordre d’accéder à des informations sensibles et non publiques.
En tant qu’ancien agent fédéral chargé de l’application de la loi, il m’est arrivé il y a longtemps d’accéder à des dossiers médicaux sans mandat.
Je ne peux pas parler au nom de toutes les agences, mais ce que j’ai fait à quelques reprises au début des années 2000 aurait probablement paru raisonnable à la plupart des gens sur HN.
J’étais officier des Coast Guard et j’avais des pouvoirs de police dans deux cadres juridiques, celui de la sécurité publique et celui du pénal.
Lorsqu’un accident grave survenait sur les voies navigables fédérales, notre première tâche était d’enquêter sur la menace pour la sécurité publique, ce qui s’accompagnait du pouvoir d’émettre une assignation.
C’est assez proche de ce que font le NTSB ou la FAA après un accident, et si une compagnie de transport exerce une activité susceptible de déverser une barge pleine de xylène dans un marais à côté d’une école primaire, j’estime que l’État a un intérêt public suffisant à déterminer la menace pour le public pour que le quatrième amendement ne fasse pas obstacle.
En revanche, si l’enquête de sécurité publique passait de « déterminer le risque pour le public » à la question d’une éventuelle responsabilité pénale individuelle, il fallait informer la personne concernée que l’affaire devenait une enquête pénale, et à partir de là le quatrième amendement et l’exigence de mandat s’appliquaient de nouveau.
Dans la pratique, il est arrivé plusieurs fois qu’une personne impliquée dans un accident retarde l’enquête sur place en disant « ce n’est pas que j’étais ivre, c’est que j’ai oublié mes médicaments », ou qu’on nous dise qu’un marin blessé était à l’hôpital.
Il fallait aller à l’hôpital recueillir sa déclaration et vérifier ses blessures ; une blessure grave faisait monter le niveau d’enquête et les ressources obligatoires à mobiliser, et il fallait déterminer si le marin avait réellement vu ce qui s’était passé.
Des entreprises se sont aussi servies à plusieurs reprises de l’excuse de l’hôpital ou du médecin pour retarder l’enquête sur leurs propres erreurs ; dans ce contexte, appeler l’hôpital pour demander « untel a-t-il été admis hier soir ? » me semblait tout à fait raisonnable.
Cela dit, il est difficile de prétendre que ce genre de pouvoir n’est pas souvent abusé, et même si la plupart des membres des forces de l’ordre essaient simplement de faire leur travail, il vaut mieux rester méfiant.
La doctrine du tiers a pris une ampleur excessive, et il existe de nombreuses situations où les gens partagent des informations avec des tiers tout en s’attendant à juste titre à conserver un droit à la vie privée sur ces informations.
Dire que la HIPAA ne crée pas d’attente raisonnable de confidentialité pour les informations partagées avec un médecin ou un pharmacien est absurde ; même si la loi prévoit explicitement une exception pour les forces de l’ordre, l’attente raisonnable de confidentialité relève d’un droit constitutionnel, et cette exception devrait donc être considérée comme inconstitutionnelle.
De manière générale, il faudrait étendre les lois sur la protection de la vie privée afin que les informations qu’une entreprise doit protéger au titre du droit privé soient exclues de la doctrine du tiers et nécessitent un mandat.
Le fait que cela facilite le travail ne le rend pas légitime ; les droits constitutionnels, les lois sur la protection des données personnelles et la jurisprudence existent pour limiter les pouvoirs de la police.
Il est vrai que ce serait plus simple pour la police si elle n’avait jamais besoin de mandat, mais ce n’est pas un argument valable pour contourner les mandats.
De même, le fait qu’il soit courant que des agents amènent des témoins, dans des interactions ne nécessitant pas d’avertissement Miranda, à faire des déclarations auto-incriminantes, ou les obtiennent en ignorant des demandes, ne rend pas cela légalement ou éthiquement justifiable.
L’hypothèse selon laquelle « la plupart des agents des forces de l’ordre essaient simplement de faire leur travail » est elle aussi discutable au vu des nombreuses données sur les abus structurels du pouvoir policier ; et même si elle était vraie, elle ne constituerait pas une défense valable pour contourner les contraintes explicitement imposées à l’État.
Les forces de l’ordre doivent respecter la Constitution, ce qui signifie accepter le contrôle que représente l’obtention d’un mandat.
Si le motif est vraiment convaincant, il ne devrait pas être difficile de convaincre un juge ou un magistrat.
Avec l’évolution du cadre légal autour de l’avortement et des droits des personnes transgenres, il est légitime de craindre qu’un procureur zélé d’un État quelconque puisse assigner des dossiers concernant des pilules abortives ou des bloqueurs hormonaux pour harceler ou poursuivre des personnes.
Il semble même possible qu’un procureur exige la liste de tous les patients actuellement sous bloqueurs hormonaux et ouvre des dossiers de protection de l’enfance contre toutes les familles de l’État.
Il y avait déjà eu un gros fil la semaine dernière.
https://news.ycombinator.com/item?id=38719918
Il y en avait aussi eu un l’avant-dernière semaine.
https://news.ycombinator.com/item?id=38615841
Pharmacies share medical data with police without a warrant, inquiry finds - https://news.ycombinator.com/item?id=38615841 - décembre 2023, 46 commentaires
L’article de TechDirt vient de ce document de la commission des finances du Sénat : https://www.finance.senate.gov/imo/media/doc/hhs_pharmacy_su...
J’aimerais qu’on m’explique en quoi c’est mauvais pour quelqu’un d’autre que les revendeurs de médicaments sur ordonnance.
On pourrait probablement obtenir ces informations par environ trois autres moyens.
Le gouvernement peut porter atteinte à vos droits tant qu’il passe par un tiers.
La consolidation du secteur de la santé a été l’un des changements les plus terrifiants que j’aie vus de toute ma vie.
Je me demande quel sera l’état final de tout cela.
Sauf que ce payeur unique sera une entité animée par une incitation au profit.
Pour être juste, une partie de cette consolidation tient aussi au fait que le coût d’exploitation est devenu trop élevé pour que médecins et pharmaciens puissent rester indépendants.
À cela s’ajoutent des dettes étudiantes énormes, les services informatiques et les exigences de conformité, ainsi que des coûts immobiliers délirants partout.
Ce pays semble se diriger vers une fin cyberpunk où les entreprises possèdent les gens.