Règlement concernant les données utilisateur et la santé

Les Conditions d'utilisation, les Règles pour les développeurs et les données utilisateur et les Consignes pour les développeurs de Google Fit sont destinées à protéger la confidentialité et la sécurité tout en facilitant la recherche sur la santé et la remise en forme. Les API Google Fit ne peuvent être utilisées dans le cadre de recherches sur la santé (dans le cadre de cette règle), que si la recherche est examinée ou approuvée par un comité indépendant ayant pour objectif 1) de protéger les droits, la sécurité et le bien-être des participants, et 2) d'être habilité à examiner, modifier, approuver ou refuser les recherches sur des sujets humains. Les tableaux indépendants incluent un comité d'examen institutionnel (IRB) détaillé à l'article 45 C.F.R. §§ 46.101-115, un comité d'éthique (CE) détaillé dans la directive 2001/20/CE ou la directive 2005/28/CE, ou une autre entité adhérant à des exigences sensiblement similaires.

Les applications et services Web approuvés par Google et utilisant les API Google Fit pour la recherche sur la santé seront libellés "Applications de recherche en santé" ou "Services Web de recherche médicale" et, collectivement désignés sous le terme "Applications et services Web de recherche médicale". "Vous" et "votre" utilisés dans le présent document font référence à ces Applications et services Web de recherche médicale. En cas de conflit entre cette politique ou toute autre condition concernant l'accès aux informations sur l'utilisateur, la présente règle de recherche sur la santé contrôle les Applications de recherche de santé et/ou les Services Web.

Applications et services Web de recherche médicale:

  1. sont chargés d'obtenir l'approbation ou l'exonération d'un comité d'examen ;
  2. Vous devez respecter le règlement ci-dessous, le Règlement Google Fit destiné aux développeurs et aux données utilisateur, sauf indication contraire dans le présent document, ainsi que d'autres règles Google applicables, y compris les Conditions d'utilisation des API Google, les Conditions d'utilisation Google Fit pour les développeurs et les Règles OAuth 2.0.
  3. Vous devez respecter toutes les lois et réglementations applicables, y compris, mais sans s'y limiter, la loi sur la protection des données personnelles du consommateur en Californie (California Consumer Privacy Act), la loi HIPAA, le RGPD (UE et Royaume-Uni), DPA 2018), la règle commune, ainsi que les réglementations de la FDA sur la protection des sujets humains.

Il vous incombe de surveiller et de vous conformer régulièrement à ces conditions. Si, à un moment donné, vous ne pouvez pas répondre à ces conditions (ou s'il existe un risque important que vous ne puissiez pas les satisfaire), vous devez immédiatement cesser d'utiliser nos services. Nous nous réservons également le droit de refuser ou de révoquer votre autorisation pour la recherche en santé, si vous ne respectez pas cette politique ou si nous avons des inquiétudes raisonnables quant à votre respect de cette politique.

Attestation sur la recherche médicale

Les applications et services Web de recherche médicale doivent sélectionner "Recherche médicale" lors du processus d'envoi pour les développeurs. Les candidatures et les services Web de la recherche médicale doivent envoyer:

  1. Un formulaire d'admission rempli
  2. Lettre d'autorisation/de renonciation IRB/CE (ou équivalent sensiblement)
  3. Accréditation IRB/EC (ou équivalent sensiblement)
  4. Données exactes demandées et raisons d'utilisation

Déterminer l'éligibilité à la recherche sur la santé

Les applications et services Web de recherche médicale doivent confirmer l'éligibilité d'un participant avant d'obtenir son consentement éclairé et en lui demandant l'autorisation d'accéder à ses données.

Notification et contrôle transparents et précis pour la recherche en santé

Une fois que vous avez vérifié votre éligibilité, vous devez respecter la section sur la transparence et l'exactitude des notifications et du contrôle des règles relatives aux données utilisateur et aux développeurs Google Fit.

En outre, les applications ou les services Web de recherche médicale doivent fournir une déclaration via une boîte de dialogue ou des boîtes de dialogue incrémentielles qui incluent les éléments suivants:

  1. la nature, l'objectif et la durée de l'étude ;
  2. les risques et les avantages pour le participant ;
  3. les mesures de confidentialité, de sécurité et de traitement des données mises en place pour les protéger ;
  4. le contact pour toute question ;
  5. Durée(s) de conservation des données collectées pour l'étude
  6. Comment se retirer de l'étude ?
  7. Comment supprimer les données de l'étude tout au long de son cycle de vie, y compris si l'étude autorise la suppression une fois que les données deviennent accessibles au public ?
  8. Tout autre document ou toute information pertinente requis par votre IRB/EC.

Vous devez également proposer au participant la possibilité d'enregistrer, de stocker ou d'envoyer par e-mail les informations ci-dessus, les documents de consentement éclairé et tout autre document requis par l'IRB/EC. Chaque participant doit signer et envoyer les mentions et autorisations requises avant de participer à l'étude. Une copie de tous les documents signés doit être envoyée au participant.

Les applications et services Web de recherche médicale suivent les Questions et réponses sur l'utilisation des consentements éclairés par voie électronique de la FDA, ou des normes en grande partie similaires. Par exemple, intégrez un langage simple dans vos explications avec des diagrammes/infographies et demandez aux participants de répondre correctement aux questions sur la recherche en santé avant de les inscrire.

Utilisations limitées des données utilisateur pour la recherche en santé

Les applications ou services Web de recherche médicale doivent respecter les exigences ci-dessous. Ces exigences s'appliquent aux données des participants, y compris les données brutes obtenues à partir des API Google Fit et les données agrégées, anonymisées ou dérivées des données du participant ou des données brutes.

  1. Limitez l'utilisation des données des participants à la collecte prévue.
  2. Anonymisez immédiatement les données des participants dans la mesure du possible.
  3. Vous ne devez pas utiliser les données des participants à des études de marché ni les partager avec des tiers pour de nouvelles études, ou à des fins autres que celles de l'étude initiale, sans obtenir préalablement le consentement éclairé des participants, sauf si l'IRB renonce explicitement à l'obligation de disposer d'un consentement éclairé distinct.
  4. N'utilisez pas de données et ne les partagez pas avec des membres de votre équipe qui n'en ont pas vraiment besoin.
  5. Ne transférez les données des participants qu'à des tiers :
    1. Si nécessaire pour poursuivre l'objectif de recherche initial et les tiers sont tenus de limiter leur accès et leur utilisation des données des participants à cet objectif.
    2. si le participant a donné son consentement explicite pour partager des données spécifiques, par exemple dans le document de consentement éclairé et signé qui lui est présenté ;
    3. si nécessaire pour des raisons de sécurité (par exemple, pour enquêter sur une utilisation abusive) ; ou
    4. pour respecter les lois et règlements applicables.

Tout autre transfert, utilisation ou vente des données des participants est expressément interdit, y compris :

  1. Transfert, vente ou utilisation des données sur les participants pour diffuser des annonces, y compris la publicité contextuelle, le reciblage, la publicité personnalisée ou les centres d'intérêt.
  2. Transférer ou vendre les données des participants à des tiers tels que des plates-formes publicitaires, des courtiers en données ou tout autre revendeur d'informations
  3. le transfert, la vente ou l'utilisation des données des participants pour déterminer la solvabilité ou à des fins de prêt ;
  4. le transfert, la vente ou l'utilisation des données des participants avec tout produit ou service pouvant être considéré comme un dispositif médical en vertu de la section 201(h) de la loi fédérale américaine Federal Food Drug &Cosmetic (FD&C) si les données des participants seront utilisées par l'appareil médical pour exécuter sa fonction certifiée.
  5. le transfert, la vente ou l'utilisation des données des participants à quelque fin ou de quelque manière que ce soit impliquant des informations de santé protégées (telles que définies par la loi HIPAA), sauf si vous les recevez dans le cadre d'une autorisation conforme à la loi HIPAA valide, examinée par l'IRB ou un EC, le cas échéant ;

Une déclaration affirmative selon laquelle votre utilisation des données respecte les restrictions d'utilisation de l'API Google Fit pour la recherche médicale Cette option peut rallonger le délai d'examen de votre application.

Recommandations de traitement sécurisé des données pour la recherche en santé

Les applications et services Web de recherche médicale doivent respecter la section Traitement sécurisé des données de l'utilisateur et du règlement pour les développeurs Google Fit.

Les applications et services Web de recherche médicale sont également recommandés conformément aux bonnes pratiques recommandées par le Département de la Santé et des Services sociaux des États-Unis, par la réglementation américaine sur la nourriture et les médicaments ou par les Consignes de bonnes pratiques cliniques de l'ICH, comme l'obtention d'un certificat de confidentialité émanant des Instituts américains de la santé, qui peut protéger les données des divulgations transmises à des tiers.

Publication de données

Les Applications de recherche en santé et les Services Web peuvent choisir de publier les résultats de leurs recherches, mais ne peuvent pas suggérer à Google d'approuver la conception de l'étude ni la validité scientifique de cette étude, ni de valider les résultats de l'étude, à moins qu'ils ne soient fournis par écrit par Google. Les applications et services Web de recherche médicale doivent respecter les lois et règlements applicables, ainsi que les exigences suivantes si vous prévoyez de publier votre recherche ou de la rendre publique sous quelque forme que ce soit:

  1. Enregistrez votre étude dans un registre public, par exemple clinicaltrials.gov.
  2. notifier Google Fit de l'inclusion de l'étude dans la bibliothèque de publications Google Fit ;
  3. indiquer publiquement la source des informations ;
  4. Évitez de publier des données individuelles qui pourraient être identifiables et atténuez le risque de restauration de l'identification. Voici quelques exemples de bonnes pratiques à adopter pour limiter le risque de restauration de l'identification :
    1. Dans la mesure du possible, fournissez des données globales au niveau récapitulatif plutôt que des données anonymisées au niveau individuel.
    2. Si vous devez partager des données anonymisées au niveau individuel, au lieu de les publier publiquement, ne les communiquez à d'autres utilisateurs qu'à des fins d'examen par des pairs, sous réserve d'engagements contractuels du destinataire de ne pas divulguer les données ou d'essayer de les restaurer.
    3. Si vous devez publier des données anonymisées au niveau individuel, vous devez le faire en conformité avec toutes les lois applicables et, au minimum, utiliser une technique d'anonymisation identifiée, comme la confidentialité différentielle, pour préserver la confidentialité ou obtenir la détermination d'un expert indiquant que le risque de restauration de l'identification est très faible.