
La Federal Trade Commission des États-Unis a conclu un accord avec la société de télésanté Cerebral dans lequel la société paiera 7 000 000 over pour des allégations de mauvaise gestion des données de santé sensibles des personnes.
Cerebral est une entreprise de télésanté à distance qui fournit une thérapie en ligne et une gestion des médicaments pour divers problèmes de santé mentale, notamment l’anxiété, la dépression, le TDAH, le trouble bipolaire et la toxicomanie.
En mars 2023, l’entreprise a envoyé des avis de violation de données à 3,2 millions de personnes qui avaient interagi avec ses sites Web, applications et services, indiquant que leurs informations avaient été exposées en raison de l’utilisation de pixels de suivi sur sa plate-forme.
La plainte de la FTC accuse Cerebral et son ancien PDG, Kyle Robertson, de divulguer les renseignements personnels sur la santé des consommateurs à des tiers à des fins publicitaires et de ne pas respecter ses politiques d’annulation.
« La plainte accuse Cerebral d’avoir fourni des informations sensibles de près de 3,2 millions de consommateurs à des tiers tels que LinkedIn, Snapchat et TikTok en utilisant ou en intégrant des outils de suivi sur son site Web ou ses applications », lit-on dans l’annonce.
« Ces outils de suivi collectent et envoient des données à des tiers afin qu’ils puissent fournir de la publicité, des analyses de données ou d’autres services au propriétaire des sites Web ou des applications. »
L’annonce de la FTC énumère également certaines mauvaises pratiques présumées suivies par Cerebral qui ont entraîné des niveaux variables d’exposition de données de santé sensibles pour les consommateurs, notamment l’incapacité de révoquer l’accès des anciens employés aux dossiers des patients cérébraux et l’incapacité de cloisonner les fournisseurs et de restreindre leur accès uniquement aux dossiers de leurs patients.
De plus, l’agence affirme que l’entreprise a utilisé une méthode d’authentification unique non sécurisée pour accéder au portail des patients et que Cerebral n’a pas limité l’accès des employés uniquement aux données nécessaires à l’exécution de leurs tâches professionnelles.
L’ordonnance proposée, en attendant l’approbation du tribunal, comprend les dispositions suivantes:
- Remboursement de 5 100 000 $aux clients qui ont été touchés par des pratiques d’annulation trompeuses.
- Pénalité civile de 10 millions de dollars, limitée à 2 000 000 de dollars en raison d’une incapacité cérébrale à payer le montant total.
- Interdiction permanente de partager des données de santé avec des tiers à des fins de marketing et de publicité.
- Exiger le consentement des consommateurs avant de divulguer leurs données personnelles et de santé à des tiers.
- Interdire à Cerebral de déformer ses pratiques en matière de sécurité et de confidentialité des données.
- Mettre en œuvre un programme complet de sécurité et de confidentialité des données.
- Publier un avis sur son site Web détaillant la plainte et les mesures requises.
- Mettre en œuvre un calendrier de conservation des données, supprimer les données inutiles des consommateurs à moins qu’elles ne soient consenties à être conservées et fournir un mécanisme clair de demande de suppression des données.
- Interdire les fausses déclarations des politiques d’annulation et simplifier le processus d’annulation pour les consommateurs.
L’ancien PDG Robertson, accusé d’avoir ordonné la suppression d’un bouton « annulation facile » du site Cérébral, n’a pas accepté de règlement, le tribunal décidera donc de ses accusations.