There are increasing threats to healthcare data protection in the United States. Most federal data privacy laws apply only to specific sectors, such as healthcare, education, communications, or financial services. In the absence of comprehensive data protection legislation there are multiple, sectoral approaches. These privacy laws are noticeably limited in their vertical scope, preferring downstream protections such as confidentiality, security, and breach notification. Hardly any US laws contain upstream requirements that minimize or otherwise limit data collection. The imminent “EU General Data Protection Regulation” (GDPR) is considerably more comprehensive. Horizontally, it applies to all sectors of the economy, all broadly defined “personal data,” and all who control or process data. Vertically, it applies protective standards throughout the lifespan of data. In the US, the primary federal law applying to healthcare data comprises of regulations known as the “HIPAA Privacy and Security Rules.” The HIPAA rules provide considerably weaker protection than the GDPR, although they are far stronger that the protections applicable to other commercial sectors in the US HIPAA has relatively narrow scope, essentially only applying to data held by traditional healthcare providers and applying only downstream protections; confidentiality, security, and breach notification. Notwithstanding its weaknesses, the HIPAA rules are quite detailed and generally well enforced. Thus, HIPAA has created expectations in patients that all their healthcare data are safe. This is no longer the case, either within the HIPAA “zone” or outside of it. First, traditional providers have almost completed their transition from paper to electronic health records, during which they swap the protections inherent in unconnected file rooms for far riskier computerized longitudinal databases. Second, multiple parties outside of healthcare view healthcare data by as having great value; “big data” brokers collect healthcare data or medically-inflected data for their predictive analytics products, while cybercriminals long since have recognized the profit in stealing health records. Third, consumer electronics companies continue to disrupt healthcare data markets (and data protection) by encouraging consumers to themselves collect and curate data from mobile health apps, wearable devices and the “internet of things.” These challenges to healthcare data protection highlight the fundamental flaws of domain-limited protections and over-reliance on a limited set of protective models. The former because disruptive businesses and technological innovations can make a nonsense of narrowly-defined sectoral protections. The latter because policymakers need a broader array of tools to combat modern challenges while reliance on downstream models intrinsically concedes the correctness of unregulated data collection. The outlook for US healthcare data protection is increasingly bleak. In the aftermath of the 2016 US election, it is quite likely that HIPAA rules will be enforced with less enthusiasm, encouraging an increase in data leaks from the health care system. Further, those victorious in the election are no friends of pro-privacy regulatory agencies and some of their data protection activities may be reined in. It is also extremely unlikely that comprehensive privacy legislation will be passed by the incoming administration. Yet, technological progress and consumer choice almost inevitably will result in increasing amounts of healthcare data being created and processed outside the HIPAA-protected zone. Not surprisingly therefore, healthcare data protection in the US faces a perilous future and one that increasingly will be at odds with the protections offered by its trading partners.

Il existe des menaces croissantes à la protection des données de santé aux États-Unis. La plupart des lois fédérales sur la protection des données ne s’appliquent qu’aux secteurs particuliers tels que la santé, l’éducation, les communications ou les services financiers. En l’absence d’une législation exhaustive sur la protection des données, il existe des approches sectorielles multiples. Ces lois sur la protection de la vie privée sont sensiblement limitées dans leur portée verticale, préférant les protections en aval telles que la confidentialité, la sécurité et la notification de violation. Peu de lois américaines contiennent des exigences en amont qui minimisent ou limitent la collecte de données. Le « règlement général de la protection des données » de l’UE (GDPR), imminent, sera beaucoup plus complet. Horizontalement, il s’applique à tous les secteurs de l’économie, à toutes les « données personnelles » définies largement, et à tous ceux qui contrôlent ou traitent les données. Au niveau vertical, il applique des normes de protection tout au long de la durée de vie des données. Aux États-Unis, la loi fédérale primaire s’appliquant aux données de santé comprend des règlements connus sous le nom de « HIPAA Privacy and Security Rules ». Les règles HIPAA offrent une protection beaucoup plus faible que le GDPR, bien qu’elles soient beaucoup plus fortes que les protections applicables à d’autres secteurs commerciaux aux États-Unis. La portée de l’HIPAA est relativement étroite et s’applique essentiellement aux données détenues par les fournisseurs de soins traditionnels et ne s’applique qu’aux protections en aval : confidentialité, sécurité et notification de violation. Malgré ses faiblesses, les règles de l’HIPAA sont assez détaillées et généralement bien appliquées. En conséquence, HIPAA a créé des attentes chez les patients pour que toutes leurs données de santé soient sûres. Ce n’est plus le cas, ni dans la « zone » HIPAA ni en dehors de celle-ci. Premièrement, les prestataires traditionnels ont presque terminé leur transition du papier vers les dossiers médicaux électroniques, au cours desquels ils échangent les protections inhérentes aux salles de fichiers non reliées à celles des bases de données longitudinales informatiques, beaucoup plus risquées. Deuxièmement, plusieurs parties extérieures à la santé considèrent les données de santé comme ayant une grande valeur. Les courtiers de « grandes données » recueillent des données sur la santé ou des données médicalement orientées pour leurs produits analytiques prédictifs, alors que les cybercriminels ont depuis longtemps reconnu le profit dans le vol des dossiers médicaux. Troisièmement, les sociétés d’électronique grand public continuent de perturber les marchés de données sur la santé (et la protection de ces données) en encourageant les consommateurs à recueillir et à récupérer des données provenant d’applications mobiles de santé, de dispositifs portables et de l’Internet des objets. Ces défis à la protection des données de santé mettent en évidence les failles fondamentales des protections limitées par le domaine et la dépendance excessive à un ensemble limité de modèles de protection. La première parce que les entreprises perturbatrices et les innovations technologiques peuvent faire un non-sens de la protection sectorielle étroitement définie. Ce dernier étant donné que les décideurs politiques ont besoin d’un éventail plus large d’outils pour lutter contre les défis modernes, tandis que la dépendance à l’égard des modèles en aval concède intrinsèquement l’exactitude de la collecte de données non réglementée. Les perspectives pour la protection des données sur la santé aux États-Unis sont de plus en plus sombres. Au lendemain des élections américaines de 2016, il est fort probable que les règles de l’HIPAA seront appliquées avec moins d’enthousiasme, ce qui favorisera une augmentation des fuites de données du système de santé. De plus, ceux qui ont remporté l’élection ne sont pas des amis des organismes de réglementation de la protection de la vie privée et certaines de leurs activités de protection des données peuvent être limitées. Il est également extrêmement improbable qu’une loi sur la protection de la vie privée soit adoptée par l’administration entrante. Pourtant, le progrès technologique et le choix du consommateur entraîneront presque inévitablement une augmentation des quantités de données sur la santé créées et traitées en dehors de la zone protégée HIPAA. Il n’est donc pas étonnant que la protection des données sur les soins de santé aux États-Unis soit confrontée à un avenir périlleux et de plus en plus en contradiction avec les protections offertes par ses partenaires commerciaux.