La FTC utilise son pouvoir en matière d'« actes déloyaux » pour poursuivre les violations de la sécurité des informations médicales protégées

29 mai 2014

Comme si la loi HIPAA ne suffisait pas...

La Commission fédérale du commerce (FTC) poursuit une action administrative contre un petit laboratoire médical qui a subi deux violations de la sécurité des données, entraînant la divulgation des informations médicales protégées de ses patients à des usurpateurs d'identité. Les faits de cette affaire sont sans intérêt particulier : un petit établissement a subi une violation de données et doit désormais faire face aux conséquences administratives. Ce qui est unique dans cette affaire, c'est plutôt la nature des conséquences administratives auxquelles l'établissement doit faire face. Loin d'être soumise à une enquête HIPAA par le Bureau des droits civils du HHS, l'établissement se retrouve plutôt confronté à des accusations de la Commission fédérale du commerce pour avoir enfreint une loi centenaire sur la protection des consommateurs et les pratiques anticoncurrentielles qui interdit « les actes ou pratiques déloyaux ou trompeurs dans le commerce ou affectant le commerce ».

La décision de la FTC rappelle de manière effrayante que les entreprises qui traitent des informations médicales protégées sont soumises à d'autres lois que la seule loi HIPAA.

Faits de l'affaire

LabMD est un laboratoire médical indépendant basé à Atlanta qui, jusqu'à récemment, se concentrait sur les services de dépistage du cancer. Selon les documents déposés dans le cadre de l'affaire, LabMD a été informé en 2008 qu'une copie de son fichier d'ancienneté des assurances, qui contenait des informations privées détaillées sur des milliers de ses patients, avait été consultée par un tiers non autorisé. À la suite d'une enquête, LabMD a appris que ce tiers était une société de cybersécurité qui soutenait des recherches financées par le gouvernement fédéral sur la sécurité des informations de santé. LabMD a également appris que ce tiers avait accédé au dossier d'assurance grâce à une application de partage de fichiers peer-to-peer qu'un employé avait téléchargée sur son ordinateur ; après avoir pris connaissance de cela, LabMD a immédiatement supprimé le logiciel de partage de fichiers.

Quatre ans plus tard, à l'autre bout du pays, le service de police de Sacramento a arrêté un groupe de voleurs d'identité et a trouvé en leur possession des copies de divers « registres quotidiens » de LabMD, qui contenaient les noms et numéros de sécurité sociale de plusieurs centaines de patients. À ce jour, on ignore toujours comment ces voleurs d'identité se sont procuré ces documents.

État d'avancement du litige

Compte tenu des manquements de LabMD en matière de protection des informations des patients, la FTC a engagé des poursuites administratives pour violation de l'article 5 de la loi FTC Act qui, dans sa partie pertinente, interdit « les actes ou pratiques déloyaux ou trompeurs dans le commerce ou ayant une incidence sur celui-ci ». Comme l'auteur de cet article l'a déjà écrit ailleurs, la FTC a de plus en plus recours aux pouvoirs étendus que lui confère l'article 5 pour poursuivre les entreprises victimes de violations de données, bien que ce soit sur la base de théories juridiques changeantes et sans mandat réglementaire clair pour le faire.

Comme on ne sait pas comment les voleurs d'identité californiens ont obtenu des copies des feuilles journalières de LabMD, la FTC estime manifestement qu'il était « injuste » de la part de LabMD de laisser un employé indiscipliné télécharger une application de partage de fichiers peer-to-peer sur un ordinateur contenant des informations médicales protégées.

LabMD a combattu la FTC sur deux fronts. LabMD a intenté une action en justice devant un tribunal fédéral de district afin d'interdire la mesure administrative de la FTC, estimant qu'elle dépassait les compétences réglementaires de cette dernière. Sur le plan administratif, LabMD a demandé une décision sommaire conformément aux règles de la FTC, une procédure très similaire à une demande de jugement sommaire devant un tribunal.

Pour l'instant du moins, ces deux tentatives semblent avoir échoué. Le 12 mai 2014, le tribunal de district a estimé que l'action de la FTC ne pouvait faire l'objet d'un contrôle juridictionnel tant que la Commission n'avait pas rendu une décision définitive. Une semaine plus tard, dans une ordonnance d'une seule phrase, la onzième chambre d'appel a refusé d'utiliser ses pouvoirs d'urgence pour modifier cette décision. Le même jour, la FTC a rejeté à l'unanimité les efforts de LabMD visant à mettre fin à l'affaire sur le fond. Cette décision signifie que l'affaire sera jugée par un juge administratif.

La décision de la FTC est remarquable en ce sens que la Commission a rejeté l'argument selon lequel elle ne peut contester que les violations de données qui enfreignent la loi HIPAA ; elle a plutôt déterminé que ses pouvoirs en vertu de l'article 5 sont totalement distincts des exigences de la loi HIPAA. Selon la Commission, la responsabilité de LabMD dépendra d'une question relevant uniquement de la section 5 : ses « pratiques en matière de sécurité des données étaient-elles raisonnables et ont-elles causé, ou étaient-elles susceptibles de causer, un préjudice important aux consommateurs qui était inévitable [pour les consommateurs] et injustifié par des avantages compensatoires » ?

A retenir

La décision de la FTC n'est pas surprenante, même si ses partisans seront étonnés qu'elle ait été rédigée par le commissaire Wright, qui a toujours critiqué ouvertement le recours généralisé aux pouvoirs prévus à l'article 5 en matière d'« injustice ». Plus que tout, cette décision rappelle de manière déplaisante que l'OCR n'est pas le seul organisme de réglementation et que la loi HIPAA n'est pas la seule loi sur la sécurité des données que les entités couvertes et les partenaires commerciaux doivent garder à l'esprit.

La conséquence la plus inquiétante de la décision de la FTC est peut-être que le délai de prescription pour les violations de la loi HIPAA vient sans doute d'être prolongé. En vertu de l'article 45 C.F.R. § 160.522, un délai de prescription de six ans s'applique aux mesures d'application de la loi HIPAA. Mais l'article 5 de la loi FTC ne contient aucune disposition explicite en matière de prescription et (bien que la question soit loin d'être tranchée) certains commentateurs se sont ouvertement demandé si la FTC appliquait un délai de prescription aux affaires relevant de l'article 5.

Cela dit, il convient de garder à l'esprit que les pouvoirs de police de la FTC sont limités. Comme l'a écrit un tribunal le mois dernier en confirmant une mesure d'application de la FTC en matière de sécurité des données, « cette décision ne donne pas à la FTC un blanc-seing pour intenter une action en justice contre toutes les entreprises qui ont été piratées ». Parmi d'autres limitations, il semble que la FTC ne s'intéressera qu'aux pratiques en matière de données qu'elle juge déraisonnablement laxistes. Par conséquent, du moins pour l'instant, le respect des mesures de protection physiques, techniques et administratives prévues par la règle de sécurité de la loi HIPAA devrait encore suffire à empêcher la FTC de frapper à votre porte.

Clause de non-responsabilité

Ce blog est mis à disposition par Foley & Lardner LLP ("Foley" ou "le cabinet") à des fins d'information uniquement. Il n'a pas pour but d'exprimer la position juridique du cabinet au nom d'un client, ni de fournir des conseils juridiques spécifiques. Les opinions exprimées dans cet article ne reflètent pas nécessairement celles de Foley & Lardner LLP, de ses partenaires ou de ses clients. En conséquence, n'agissez pas sur la base de ces informations sans demander l'avis d'un avocat agréé. Ce blog n'est pas destiné à créer, et sa réception ne constitue pas, une relation avocat-client. Communiquer avec Foley par le biais de ce site web, que ce soit par e-mail, par un billet de blog ou par tout autre moyen, ne crée pas une relation avocat-client pour une quelconque question juridique. Par conséquent, toute communication ou matériel que vous transmettez à Foley par le biais de ce blog, que ce soit par e-mail, par billet de blog ou de toute autre manière, ne sera pas traité comme confidentiel ou propriétaire. Les informations contenues dans ce blog sont publiées "EN L'ÉTAT" et ne sont pas garanties comme étant complètes, exactes ou à jour. Foley ne donne aucune garantie, expresse ou implicite, quant au fonctionnement ou au contenu du site. Foley rejette expressément toute autre garantie, condition ou déclaration de quelque nature que ce soit, expresse ou implicite, découlant d'un statut, d'une loi, d'un usage commercial ou autre, y compris les garanties implicites de qualité marchande, d'adéquation à un usage particulier, de titre et d'absence de contrefaçon. En aucun cas Foley ou l'un de ses partenaires, dirigeants, employés, agents ou affiliés ne pourra être tenu responsable, directement ou indirectement, en vertu de toute théorie de droit (contrat, délit, négligence ou autre), envers vous ou toute autre personne, pour toute réclamation, perte ou dommage, direct, indirect, spécial, accessoire, punitif ou consécutif, résultant de ou occasionné par la création, l'utilisation ou la confiance en ce site (y compris les informations et autres contenus) ou tout autre site tiers ou les informations, ressources ou matériels accessibles à travers de tels sites web. Dans certaines juridictions, le contenu de ce blog peut être considéré comme de la publicité pour les avocats. Le cas échéant, veuillez noter que des résultats antérieurs ne garantissent pas un résultat similaire. Les photographies ne sont utilisées qu'à des fins de représentation et peuvent inclure des modèles. Les portraits n'impliquent pas nécessairement le statut de client, de partenaire ou d'employé actuel.

La FTC utilise son pouvoir en matière d'« actes déloyaux » pour poursuivre les violations de la sécurité des informations médicales protégées

Perspectives connexes

Mise à jour sur la réunion d'automne de la NAIC : Groupe de travail sur les données relatives au marché immobilier (C)

Mise à jour sur la réunion d'automne de la NAIC : le groupe de travail sur la cybersécurité (H) reçoit des commentaires sur le portail de notification des incidents cybernétiques

Mise à jour sur la réunion d'automne de la NAIC : le groupe de travail sur les licences des producteurs (D) reçoit un rapport sur l'expansion et les changements du NIPR