Règles Google Fit sur les données utilisateur et les recherches médicales

Les Conditions d'utilisation de Google Fit, le Règlement sur les données utilisateur et le Règlement pour les développeurs, ainsi que les Consignes pour les développeurs visent à protéger la confidentialité et la sécurité, tout en facilitant la recherche sur la santé et la remise en forme. Les API Google Fit ne peuvent être utilisées qu'à des fins de recherche médicale (appelée "recherche médicale") dans les présentes règles, si les recherches sont examinées ou approuvées par un comité indépendant dont l'objectif 1) est de protéger les droits, la sécurité et le bien-être des participants, et 2) d'avoir le pouvoir d'examiner, de modifier, d'approuver ou de refuser les recherches sur des sujets humains. Les comités indépendants comprennent un comité d'examen institutionnel (IRB) détaillé dans l'article 45 C.F.R. paragraphe 46.101-115, un comité d'éthique (CE) détaillé dans les directives 2001/20/CE ou 2005/28/CE, ou une autre entité adhérant globalement à des exigences similaires ("Comité d'examen").

Les applications et services Web approuvés par Google utilisant les API Google Fit pour la recherche médicale seront intitulés Applications de recherche médicale ou Services Web de recherche médicale, et collectivement désignés sous le terme "Applications et services Web de recherche médicale". Le terme "vous" et "vos" dans le présent document font référence à ces Applications et services Web de recherche médicale. En cas de conflit entre les présentes règles ou toute autre condition concernant l'accès aux données des utilisateurs, le présent règlement sur les recherches médicales contrôle les Applications de recherche médicale et/ou les Services Web.

Applications et services Web de recherche médicale:

1. sont responsables de l'obtention de l'approbation ou d'une renonciation auprès d'un comité d'examen ;
2. Vous devez respecter le règlement ci-dessous, les Règles sur les données utilisateur et celles du développeur Google Fit (sauf indication contraire dans les présentes) et les autres règles Google applicables, y compris les Conditions d'utilisation des API Google, les Conditions d'utilisation pour les développeurs Google Fit et les Règles OAuth 2.0.
3. doit respecter l'ensemble des lois et règlements applicables, y compris, mais sans s'y limiter, la loi sur la protection des données personnelles du consommateur en Californie (California Consumer Privacy Act), la loi HIPAA, le RGPD (UE et Royaume-Uni), le DPA 2018), la règle commune (Common Rule) et les règlements de la FDA sur la protection des sujets humains.

Il vous incombe de surveiller et de respecter régulièrement ces conditions. Si, à tout moment, vous ne pouvez plus remplir ces conditions (ou s'il est très probable que vous ne puissiez pas les respecter), vous devez immédiatement cesser d'utiliser nos services. Nous nous réservons également le droit de refuser ou de révoquer votre autorisation d'effectuer des recherches médicales si vous ne respectez pas ces règles ou si nous avons des doutes raisonnables sur votre conformité avec celles-ci.

Attestation de recherche médicale

Les applications et les services Web de recherche médicale doivent sélectionner "Recherche médicale" lors du processus d'envoi du développeur. Les Applications de recherche médicale et les services Web doivent soumettre:

1. Un formulaire d'enregistrement rempli
2. Approbation/Lettre de renonciation IRB/CE (ou équivalent sensiblement similaire)
3. Accréditation IRB/CE (ou équivalent sensiblement similaire)
4. Données exactes demandées et justification de leur utilisation

Déterminer l'éligibilité pour la recherche médicale

Les applications et les services Web de recherche médicale doivent confirmer l'éligibilité d'un participant avant d'obtenir son consentement éclairé et de demander l'autorisation d'accéder à ses données.

Notification et contrôle transparents et précis pour la recherche médicale

Une fois que vous aurez confirmé votre éligibilité, vous devrez vous conformer à la section sur les avis et le contrôle transparents et précis du règlement Google Fit pour les développeurs et les données utilisateur.

En outre, les applications de recherche médicale ou les services Web doivent fournir une divulgation par le biais d'une ou de plusieurs boîtes de dialogue comportant les informations suivantes:

1. La nature, l'objectif et la durée de la recherche
2. les risques et les avantages pour le participant ;
3. les mesures de confidentialité, de sécurité et de traitement des données mises en place pour protéger les données ;
4. Le point de contact pour toute question
5. La ou les durées de conservation des données collectées pour l'étude
6. Comment se retirer de l’étude ;
7. Comment supprimer les données d'une personne de l'étude tout au long du cycle de vie de l'étude, y compris si l'étude autorise la suppression une fois que les données sont accessibles au public ; et,
8. Tout autre document ou information pertinent requis par votre IRB/EC.

Vous devez également donner au participant la possibilité d'enregistrer, de stocker ou d'envoyer par e-mail les informations ci-dessus, les documents de consentement éclairé et tout autre document requis par l'IRB/EC. Chaque participant doit signer et envoyer les communiqués et les autorisations requis avant de participer à l'étude. Une copie de tous les documents signés doit être envoyée au participant.

Les applications et les services Web de recherche médicale respecteront l'article de la FDA sur l'utilisation des questions et réponses électroniques basées sur le consentement ou des normes très similaires. Par exemple, incluez un langage clair dans vos explications avec des diagrammes/infographies et exigez que les participants répondent correctement aux questions sur la recherche médicale avant de s'inscrire.

Utilisations limitées des Données utilisateur pour la recherche médicale

Les Applications de recherche médicale ou les Services Web doivent respecter les exigences ci-dessous. Ces exigences s'appliquent aux données des participants, y compris aux données brutes obtenues à partir des API Google Fit, ainsi qu'aux données agrégées, anonymisées ou dérivées des données des participants ou des données brutes.

1. Limitez votre utilisation des données des participants à l'objectif prévu pour la collecte.
2. Anonymisez immédiatement les données des participants dans la mesure du possible pour votre étude.
3. Vous ne devez pas utiliser ni partager les données des participants avec des tiers pour de nouvelles études de recherche, ou à toute fin différente des objectifs de l'étude initiale, sans obtenir le consentement éclairé des participants séparément, sauf si l'IRB renonce explicitement à l'exigence d'un consentement éclairé séparé.
4. N'utilisez pas et ne partagez pas de données avec les membres de votre équipe qui n'ont pas vraiment besoin d'en avoir connaissance.
5. Ne transférez les données des participants à des tiers que dans les cas suivants :
   1. Si cela est nécessaire pour poursuivre les objectifs de recherche initiaux, les tiers sont tenus de limiter leur accès aux données des participants et leur utilisation aux fins de la réalisation de cet objectif ;
   2. si le participant a explicitement accepté de partager des données spécifiques (par exemple, dans le document de consentement éclairé signé qui lui est présenté) ;
   3. pour des raisons de sécurité (par exemple, pour enquêter sur une utilisation abusive) ; ou
   4. afin de respecter les lois et réglementations en vigueur.

Tout autre transfert, utilisation ou vente des données des participants est expressément interdit, y compris:

1. le transfert, la vente ou l'utilisation des données des participants pour diffuser des annonces, y compris de la publicité contextuelle, de reciblage, personnalisée ou ciblée par centres d'intérêt ;
2. le transfert ou la vente des données des participants à des tiers tels que des plates-formes publicitaires, des courtiers en données ou tout autre revendeur d'informations ;
3. le transfert, la vente ou l'utilisation des données des participants pour déterminer leur solvabilité ou à des fins de prêt.
4. le transfert, la vente ou l'utilisation des données du participant avec un produit ou un service pouvant être considéré comme un dispositif médical en vertu de la section 201(h) de la loi FDA (Federal Food Drug& Cosmetic Act) si les données du participant seront utilisées par le dispositif médical pour remplir sa fonction certifiée.
5. le transfert, la vente ou l'utilisation des données des participants à des fins ou de quelque manière que ce soit impliquant des données de santé protégées (telles que définies par la loi HIPAA), sauf si vous les avez reçues dans le cadre d'une autorisation HIPAA valide qui a été examinée par un IRB ou un EC, selon le cas.

Vous devez indiquer dans votre application ou sur un site Web appartenant à votre service Web ou à votre application une déclaration affirmée indiquant que votre utilisation des données est conforme aux API Google Fit pour les études liées à la santé. Les restrictions d'utilisation limitée de l'application doivent être mentionnées dans votre application ou sur un site Web appartenant à votre service Web ou à votre application (par exemple, un paragraphe dans votre document de consentement éclairé ou un lien sur une page d'accueil vers une page dédiée ou des règles de confidentialité avec la mention : "L'utilisation des informations reçues des API Google Fit doit alors être en accord avec les Règles de confidentialité Google Fit). Cette option peut allonger le délai d'examen de votre application.

Recommandations pour la gestion sécurisée des données pour la recherche médicale

Les applications et les services Web de recherche médicale doivent respecter la section Données utilisateur Google Fit et traitement sécurisé des données du Règlement pour les développeurs.

Il est également recommandé de suivre les bonnes pratiques recommandées par le département de la Santé et des Services sociaux des États-Unis, de la Food and Drug Administration (États-Unis) ou des Consignes de bonnes pratiques cliniques de l'ICH (par exemple, pour demander un certificat de confidentialité délivré par les National Institutes of Health, ce qui peut protéger les données contre une divulgation forcée à des tiers).

Publication de données

Les applications et les services Web de recherche médicale peuvent choisir de publier les résultats de leurs recherches, mais ne peuvent pas laisser entendre que Google approuve la conception de l'étude, la validité scientifique de celle-ci ou approuve les résultats de l'étude, sauf si Google les a fournis par écrit. Les applications et les services Web de recherche médicale doivent respecter les lois et règlements pertinents, ainsi que les exigences suivantes si vous prévoyez de publier vos recherches ou de les rendre publiques sous quelque forme que ce soit:

1. Enregistrez votre étude dans un registre public, par exemple clinicaltrials.gov.
2. Informer Google Fit que l'étude est ajoutée à la bibliothèque des publications Google Fit
3. divulguer publiquement la source des informations ;
4. Évitez de publier des données individuelles qui pourraient être identifiables et réduisez le risque de restauration de l'identification. Voici quelques exemples de bonnes pratiques pour limiter le risque de restauration de l'identification :
   1. Dans la mesure du possible, fournissez des données globales au niveau récapitulatif plutôt que des données anonymisées au niveau individuel.
   2. Si vous devez partager des données anonymisées à l'échelle d'un individu, au lieu de les publier publiquement, fournissez-les de manière sélective à d'autres personnes uniquement à des fins d'examen par des pairs, sous réserve que le destinataire s'engage à ne pas divulguer ni tenter de rétablir l'identification des données.
   3. Si vous devez publier des données anonymisées au niveau individuel, vous devez le faire en conformité avec toutes les lois applicables et, au minimum, utiliser une technique d'anonymisation acceptée, telle que la confidentialité différentielle, pour préserver la confidentialité, ou obtenir la désignation d'un expert indiquant que le risque de restauration de l'identification est très faible.