Le procureur général James obtient 300 000 dollars de l'hôpital NewYork-Presbyterian pour manquement à l'obligation de protéger les données des patients

NEW YORK - Le procureur général de New York, Letitia James, a obtenu aujourd'hui 300 000 dollars de l'hôpital NewYork-Presbyterian (NYP) pour avoir divulgué des informations sur la santé de personnes ayant visité son site web. Une enquête menée par le bureau du procureur général (OAG) a révélé que l'hôpital utilisait des outils publicitaires sur son site web qui collectaient et partageaient des informations privées et personnelles avec des entreprises technologiques tierces lorsque les visiteurs utilisaient le site web pour rechercher des médecins ou prendre des rendez-vous, en violation de la loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA). À la suite de l'accord conclu aujourd'hui, le NYP a accepté de modifier ses politiques, de sécuriser la suppression des informations de santé protégées et de maintenir des garanties et des contrôles renforcés en matière de protection de la vie privée.

"Les New-Yorkais à la recherche d'un médecin ou d'une aide médicale doivent pouvoir le faire sans que leurs informations privées soient compromises", a déclaré le procureur général James. "Les hôpitaux et les établissements médicaux doivent respecter des normes strictes en matière de protection des informations personnelles et des données de santé de leurs patients. NewYork-Presbyterian n'a pas traité avec soin les informations médicales de ses patients, ce qui a permis à des entreprises technologiques d'accéder à leurs données. L'accord conclu aujourd'hui garantira que NewYork-Presbyterian ne fait pas preuve de négligence dans la protection des informations de ses patients".

Le NewYork-Presbyterian Hospital gère 10 hôpitaux à travers la ville de New York et la région métropolitaine environnante et reçoit plus de 2 millions de visites de patients chaque année. Le site web du NYP permet aux visiteurs de prendre rendez-vous, de rechercher des médecins, de s'informer sur les services du NYP et de rechercher des informations relatives aux symptômes et aux conditions. Une enquête de l'OAG a révélé que le NYP ne disposait pas de politiques ou de procédures internes appropriées pour contrôler les outils de suivi de tiers et qu'il n'avait pas examiné ou contrôlé les outils de suivi de tiers pour vérifier qu'ils n'enfreignaient pas la politique ou la loi avant de les déployer.

Entre juin 2016 et juin 2022, NYP a utilisé des outils tiers pour suivre les visiteurs de son site web à des fins de marketing. Ces outils utilisaient des bouts de code, connus sous le nom de pixels de suivi ou de balises, qui renvoyaient des informations au tiers chaque fois qu'une page web était chargée ou qu'un utilisateur effectuait une action prédéfinie, comme cliquer sur un lien, soumettre un formulaire ou effectuer une recherche à l'aide de la fonction de recherche du site web.

Des sociétés tierces ont reçu diverses informations sur les visiteurs du site web de NYP. Dans certains cas, ces sociétés ont reçu des informations sur la santé de l'utilisateur. La plupart des sociétés tierces reçoivent l'adresse IP de l'utilisateur et l'URL de la page web chargée ou du lien cliqué. Si un utilisateur recherche un médecin par spécialiste ou par pathologie, s'il fait des recherches sur un problème de santé ou s'il prend un rendez-vous, l'URL contient parfois des informations sur le médecin ou le problème de santé de l'utilisateur. Par exemple, si un utilisateur effectue une recherche en utilisant les mots "chirurgie de la colonne vertébrale", l'URL de la page de résultats de la recherche inclura "chirurgie de la colonne vertébrale" et le tiers recevra ces informations sur la santé de l'utilisateur.

Plusieurs tiers ont reçu des identifiants uniques qui avaient été stockés sur les appareils des utilisateurs, ce qui leur a permis de reconnaître les utilisateurs avec lesquels ils avaient déjà interagi. L'un des tiers peut également avoir reçu le nom et le prénom, l'adresse électronique, l'adresse postale et des informations sur le sexe.

En juin 2022, un journaliste a fait état de l'utilisation d'outils de suivi sur les sites web du NYP et de la collecte de données sensibles sur la santé. Le NYP a désactivé les outils de suivi sur son site web peu de temps après et a engagé une société d'expertise judiciaire tierce pour déterminer l'étendue des données divulguées. En mars 2023, le PNJ a officiellement déclaré que l'incident avait touché plus de 54 000 personnes.

Suite à l'accord conclu aujourd'hui, NYP a accepté de payer 300 000 dollars et d'adopter des politiques et des procédures visant à empêcher la divulgation d'informations de santé protégées par le biais d'outils de suivi, notamment :

• Maintenir des politiques et des procédures appropriées sur l'utilisation d'outils tiers ;
• Réaliser des audits, des examens et des tests réguliers des outils tiers avant de les déployer sur un site web ou une application du PNJ ;
• examiner régulièrement les contrats, les politiques de protection de la vie privée et les conditions d'utilisation des outils de tiers ; et
• Demander aux tiers de supprimer toutes les informations de santé protégées qu'ils ont reçues.

Les prestataires de soins de santé peuvent trouver des conseils sur l'application de la loi HIPAA à l'utilisation des technologies de suivi dans le document intitulé " Use of Online Tracking Technologies by HIPAA Covered Entities and Business Associates" (Utilisation des technologies de suivi en ligne par les entités couvertes par la loi HIPAA et les associés commerciaux), publié par l'Office for Civil Rights (Bureau des droits civils) du ministère américain de la santé et des services sociaux. 

L'accord conclu aujourd'hui s'inscrit dans la continuité des efforts déployés par le procureur général James pour protéger les informations personnelles des New-Yorkais et tenir les entreprises responsables de leurs mauvaises pratiques en matière de sécurité des données. En novembre, le procureur général James a obtenu 450 000 dollars de la société US Radiology pour une violation de données qui a entraîné la fuite des données personnelles de plus de 92 000 New-Yorkais. En octobre, le procureur général James a obtenu 350 000 dollars de la société de soins de santé Personal Touch de Long Island pour n'avoir pas sécurisé les données de 300 000 New-Yorkais. Au début du mois, le procureur général James et une coalition de plusieurs États ont obtenu 49,5 millions de dollars de la part de la société Blackbaud, spécialisée dans l'informatique dématérialisée, pour une violation de données survenue en 2020 et exposant les données de milliers d'utilisateurs. En septembre, le procureur général James a conclu un accord avec le Marymount Manhattan College pour investir 3,5 millions de dollars dans la protection des données en ligne des étudiants. En mai également, le procureur général James a récupéré 550 000 dollars auprès d'une société de gestion médicale qui n'avait pas protégé les données de ses patients. En avril, le procureur général James a publié un guide complet sur la sécurité des données afin d'aider les entreprises à renforcer leurs pratiques en la matière. En octobre 2022, le procureur général James a annoncé unaccord de 1,9 million de dollars avec le propriétaire de SHEIN et Zoetop pour n'avoir pas géré correctement une violation de données qui a compromis les informations personnelles de millions de consommateurs.

Cette affaire a été traitée par le procureur général adjoint Nathaniel Kosslyn, le conseiller principal Jordan Adler et le chef de bureau adjoint Clark Russell du Bureau de l'Internet et de la Technologie, sous la supervision du chef de bureau Kim Berger. Le Bureau de l'internet et de la technologie fait partie de la Division de la justice économique, qui est dirigée par le procureur général adjoint Chris D'Angelo. La division de la justice économique est supervisée par la première vice-procureure générale Jennifer Levy.