Conformité HIPAA pour les plateformes de santé numérique

Les plateformes de santé numérique (applications de télésanté, portails patients, systèmes de surveillance à distance, outils d'analyse de la santé et intégrations de DSE) sont soumises à certaines des réglementations de confidentialité et de sécurité les plus strictes au monde. Les violations de la HIPAA ont donné lieu à 145 millions de dollars de sanctions civiles pécuniaires rien qu'en 2023, les amendes individuelles atteignant 1,9 millions de dollars par catégorie de violation. L'Office des droits civils (OCR) a démontré sa volonté de poursuivre les efforts contre les développeurs d'applications de santé, les fournisseurs de cloud et les associés commerciaux, et pas seulement les prestataires de soins de santé traditionnels.

Comprendre exactement ce qui déclenche les obligations HIPAA et comment mettre en œuvre les garanties techniques de la règle de sécurité dans une architecture de santé numérique moderne est essentiel pour toute constitution d'équipe dans cet espace.

Points clés à retenir

• HIPAA s'applique aux entités couvertes et à leurs associés commerciaux — les plateformes de santé numérique sont généralement des BA
• Les informations de santé protégées (PHI) comprennent 18 identifiants spécifiques liés aux données de santé, de traitement ou de paiement
• La règle de sécurité exige des garanties administratives, physiques et techniques pour les PHI électroniques (ePHI)
• Les accords de partenariat commercial (BAA) sont légalement requis avant tout partage de PHI avec des tiers
• HITECH (2009) a considérablement augmenté les pénalités et étendu les obligations HIPAA aux sous-traitants de BA
• Une notification de violation au HHS et aux personnes concernées est requise dans les 60 jours
• Les audits OCR ciblent de plus en plus les entreprises de santé numérique, et pas seulement les hôpitaux
• La désidentification à l'aide des méthodes Safe Harbor ou Expert Determination supprime l'applicabilité HIPAA

---

Qui doit se conformer à la HIPAA

La HIPAA (Health Insurance Portability and Accountability Act, 1996) et la HITECH Act (2009) définissent deux catégories principales d'entités assujetties :

Entités couvertes (CE) :

• Prestataires de soins de santé qui transmettent des informations de santé par voie électronique (hôpitaux, cliniques, médecins, pharmacies)
• Plans de santé (compagnies d'assurance, plans de santé des employeurs, Medicare/Medicaid)
• Centres d'information sur les soins de santé

Associés commerciaux (BA) : Toute entité qui crée, reçoit, maintient ou transmet des PHI au nom d'une entité couverte. Les entreprises de santé numérique se situent généralement ici. Exemples :

• Fournisseurs de logiciels DSE avec accès aux dossiers des patients
• Plateformes de télésanté qui facilitent les communications prestataire-patient
• Services de facturation et de codage médicaux
• Plateformes d'analyse de données de santé
• Fournisseurs de stockage cloud stockant les ePHI
• Entreprises de support informatique ayant un accès potentiel aux PHI

Extension HITECH : La loi HITECH a étendu la responsabilité directe HIPAA aux sous-traitants des associés commerciaux (parfois appelés « subBA »). Si vous êtes un BA et que vous utilisez un fournisseur de cloud pour stocker les ePHI, ce fournisseur de cloud est un sous-BA avec des obligations directes HIPAA.

Applications de santé grand public et HIPAA : une idée fausse courante est que toutes les applications de santé sont soumises à la loi HIPAA. Si un consommateur télécharge votre application directement et saisit ses propres données de santé – sans implication d'une entité couverte – la HIPAA ne s'applique généralement pas à ces données. Cependant, si un hôpital déploie votre application auprès de ses patients, vous devenez BA. La règle de notification des violations de santé de la FTC (mise à jour en 2024) s'applique aux applications de santé grand public, quel que soit le statut HIPAA.

---

Informations de santé protégées : les 18 identifiants

Les PHI sont des informations de santé individuellement identifiables relatives à l'état de santé physique ou mentale passé, présent ou futur d'un individu, à la prestation de soins de santé ou au paiement des soins de santé. Les 18 identifiants suivants, lorsqu'ils sont combinés avec des informations sur la santé, constituent des PHI :

1. Noms
2. Données géographiques plus petites que l'État (adresses, codes postaux, géocodes)
3. Dates (sauf année) liées à un individu (date de naissance, date d'admission, date de sortie, date de décès)
4. Numéros de téléphone
5. Numéros de télécopie
6. Adresses e-mail
7. Numéros de sécurité sociale
8. Numéros de dossier médical
9. Numéros de bénéficiaires du plan de santé
10. Numéros de compte
11. Numéros de certificat ou de licence
12. Identifiants du véhicule (VIN, plaques d'immatriculation)
13. Identifiants de l'appareil et numéros de série
14. URL Web
15. Adresses IP
16. Identifiants biométriques (empreintes digitales, empreintes vocales)
17. Photos de face et images comparables
18. Tout autre numéro d’identification, caractéristique ou code unique

La Désidentification supprime les 18 identifiants et nécessite une détermination experte ou une vérification statistique indiquant que le risque de réidentification est très faible. Les données anonymisées ne sont pas des PHI et ne relèvent pas du champ d'application de la HIPAA. Il s'agit d'une considération architecturale importante pour les plateformes d'analyse de la santé.

---

La règle de confidentialité HIPAA

La règle de confidentialité (45 CFR Part 164, sous-parties A et E) régit la manière dont les PHI peuvent être utilisées et divulguées.

Utilisations et divulgations autorisées sans autorisation :

• Opérations de traitement, de paiement et de soins de santé (TPO) – l'exception liée à l'objectif principal
• Activités de santé publique (signalement des maladies aux services de santé de l'État)
• Signalement des victimes d'abus, de négligence ou de violence domestique
• Activités de surveillance sanitaire (audits CMS, enquêtes OCR)
• Procédures judiciaires et administratives (avec procédure judiciaire appropriée)
• Application de la loi (circonstances limitées)
• Menace grave pour la santé ou la sécurité
• Fonctions gouvernementales essentielles

Utilisations et divulgations nécessitant une autorisation individuelle :

• Marketing utilisant PHI
• Vente de PHI
• La plupart des utilisations de recherche (sauf dérogation IRB obtenue)
• Toute utilisation non couverte par les catégories autorisées ci-dessus

Norme minimale nécessaire : Lorsque vous divulguez des PHI à des fins autres que le traitement, vous devez faire des efforts raisonnables pour limiter la divulgation au minimum nécessaire à cette fin. Cela s'applique également aux BA : votre plateforme ne doit traiter que les éléments PHI requis pour votre fonction spécifique.

Droits des patients en vertu de la règle de confidentialité :

• Droit d'accéder à leurs PHI (dans les 30 jours ; la règle de 2021 a supprimé de nombreuses barrières d'accès et réduit les frais)
• Droit de modifier les PHI qu'ils jugent inexactes
• Droit à une comptabilité des divulgations (hors TPO, depuis 6 ans)
• Droit de demander des restrictions sur certaines utilisations
• Droit aux communications confidentielles
• Droit de se désinscrire des répertoires d'installations

---

La règle de sécurité HIPAA

La règle de sécurité (45 CFR Part 164, sous-parties A et C) s'applique spécifiquement aux PHI électroniques (ePHI) et exige que les entités couvertes et les BA mettent en œuvre des garanties administratives, physiques et techniques.

Sauvegardes administratives

Agent de sécurité : désignez une personne responsable de l'élaboration et de la mise en œuvre de la politique de sécurité HIPAA. Documentez cette désignation.

Formation de la main-d'œuvre : formez tous les membres de la main-d'œuvre aux politiques et procédures HIPAA. Tenir à jour les dossiers de formation avec les dates d'achèvement.

Procédures de gestion des accès : documentez comment l'accès du personnel à ePHI est autorisé, établi, modifié et résilié.

Formation de sensibilisation à la sécurité : Formez tous les utilisateurs sur des sujets de sécurité pertinents à leur rôle : reconnaissance du phishing, hygiène des mots de passe, reporting des incidents.

Plan d'urgence : élaborer un plan de sauvegarde des données documenté, un plan de reprise après sinistre, un plan de fonctionnement en mode d'urgence et des procédures de test et de révision.

Évaluation : effectuez des évaluations techniques et non techniques périodiques pour déterminer dans quelle mesure vos mesures de sécurité répondent aux exigences des règles de sécurité.

Sauvegardes physiques

Contrôles d'accès aux installations : mettre en œuvre des politiques limitant l'accès physique aux installations et aux systèmes contenant des ePHI au personnel autorisé. Pour les déploiements basés sur le cloud, cette obligation est transférée à votre fournisseur de cloud (nécessitant un BAA).

Utilisation du poste de travail : Documentez les fonctions appropriées exécutées sur les postes de travail ayant accès à ePHI et les attributs physiques de leur environnement.

Contrôles des appareils et des médias : documenter les procédures pour le déplacement du matériel et des supports électroniques contenant des ePHI ; sauvegarde des données avant le déplacement ; effacement/destruction des données avant élimination.

Sauvegardes techniques

Contrôles d'accès : mettre en œuvre des mécanismes techniques pour permettre uniquement aux personnes autorisées d'accéder aux ePHI :

• Identification utilisateur unique pour tous les utilisateurs du système ePHI
• Procédures d'accès d'urgence
• Déconnexion automatique après une période d'inactivité
• Capacité de cryptage et de décryptage

Contrôles d'audit : mettre en œuvre des mécanismes matériels, logiciels et procéduraux pour enregistrer et examiner l'accès et l'activité dans les systèmes contenant ePHI. Conservez les journaux d’audit pendant au moins 6 ans.

Contrôles d'intégrité : mettez en œuvre des mécanismes pour corroborer que les ePHI n'ont pas été modifiées ou détruites de manière non autorisée. Sommes de contrôle, signatures numériques ou équivalent.

Sécurité de la transmission : mettez en œuvre des mesures de sécurité techniques pour vous protéger contre tout accès non autorisé aux ePHI transmises sur un réseau. TLS 1.2+ pour toutes les transmissions ePHI.

Chiffrement : bien que techniquement « adressable » (pas requis de manière inconditionnelle), le chiffrement des ePHI au repos et en transit est considéré comme une pratique standard et de facto requis étant donné la charge de documentation alternative. Utilisez AES-256 pour les données au repos, TLS 1.2+ pour la transmission.

---

Accords de partenariat commercial

Un BAA est un contrat écrit requis avant tout partage de PHI avec un associé. Il doit comprendre :

• Spécification des utilisations et divulgations autorisées et requises des PHI par la BA
• Exigence selon laquelle la BA n'utilise ni ne divulgue les PHI sauf dans la mesure permise ou requise par le contrat.
• Exigence que la BA mette en œuvre des garanties appropriées pour empêcher toute utilisation ou divulgation non autorisée
• Obligation de signaler au CE tout manquement ou suspicion de manquement aux PHI
• Obligation de s'assurer que les sous-traitants acceptent les mêmes restrictions
• Droits d'accès, de modification et de comptabilité pour le CE
• Lors de la résiliation, du retour ou de la destruction de tous les PHI (ou si cela est impossible, continuez la protection)

** Lacunes critiques du BAA à éviter :**

• Aucune mention de chaîne de sous-traitance (votre BA utilise AWS — AWS doit avoir son propre BAA avec vous ou votre BA)
• BAA limité à des services spécifiques plutôt qu'à tous les PHI reçus dans le cadre de la relation
• Aucun délai de notification de violation spécifié
• Aucune déclaration explicite des utilisations autorisées
• Aucune obligation de destruction/retour à la résiliation

Les principaux fournisseurs de cloud (AWS, Azure, Google Cloud) proposent des BAA à leurs clients du secteur de la santé : le BAA d'AWS couvre une liste spécifique de services éligibles à la HIPAA. Vérifiez que chaque service de votre pile qui touche ePHI est couvert par un BAA.

---

Règle de notification de violation

En vertu de la règle de notification des violations modifiée par HITECH (45 CFR Part 164, sous-partie D), les entités couvertes doivent notifier :

1. Personnes concernées : sans délai déraisonnable, dans les 60 jours calendaires suivant la découverte de la violation. Courrier de première classe (ou e-mail si la personne s'est inscrite). Doit inclure une description de ce qui s'est passé, les types de RPS impliqués, les mesures que les individus doivent prendre et les coordonnées.

2. HHS (OCR) : si la violation affecte plus de 500 individus, informez-en simultanément les individus (dans les 60 jours) via le portail Web du HHS. S'il y en a moins de 500, tenez un journal et soumettez-le chaque année avant le 1er mars de l'année suivante.

3. Médias : si une violation affecte plus de 500 résidents d'un État ou d'une juridiction, informez-en les principaux médias desservant cette zone (en même temps qu'un avis individuel).

Les BA doivent informer l'entité couverte sans délai déraisonnable et au plus tard 60 jours après la découverte.

Présomption de violation : selon HITECH, tout accès, utilisation ou divulgation non autorisé de PHI est présumé être une violation à moins que le CE ou le BA ne démontre une faible probabilité que les PHI aient été compromis à l'aide d'une évaluation des risques à quatre facteurs : (1) la nature et l'étendue des PHI, (2) qui les a utilisés ou y a accédé, (3) si les PHI ont été réellement acquis ou consultés, (4) dans quelle mesure le risque a été atténué.

Refuge pour le chiffrement : les violations des données ePHI chiffrées pour lesquelles la clé de déchiffrement n'a pas également été compromise sont exclues des exigences de notification des violations, ce qui fait du chiffrement des données ePHI au repos une stratégie d'atténuation des risques particulièrement puissante.

---

Liste de contrôle de mise en œuvre technique HIPAA

• Inventaire PHI terminé — tous les éléments de données, systèmes et flux documentés
• Analyse de désidentification terminée – PHI minimisées là où la désidentification est appropriée
• Agent de sécurité HIPAA désigné et documenté
• Analyse des risques terminée et documentée (requise en vertu du §164.308(a)(1))
• Plan de gestion des risques mis en œuvre
• BAA signés avec tous les fournisseurs gérant l'ePHI (fournisseurs de cloud, outils d'analyse, services de messagerie) -[ ] Contrôle d'accès mis en œuvre avec des identifiants utilisateur uniques pour tous les utilisateurs du système ePHI
• MFA appliqué pour tous les accès au système ePHI
• Journalisation d'audit activée sur tous les systèmes ePHI (conservée 6 ans)
• Expiration automatique de la session configurée (15 minutes maximum)
• ePHI chiffré au repos (AES-256) et en transit (TLS 1.2+)
• Procédures de sauvegarde et de reprise après sinistre documentées et testées
• Formation HIPAA de la main-d'œuvre terminée et documentée
• Procédure de réponse aux incidents/notification de violation documentée
• Avis de confidentialité (NPP) publiés et fournis aux patients
• Procédures relatives aux droits des patients mises en œuvre (accès, modification, comptabilité)
• Les accords de sous-traitance répercutent les obligations HIPAA de manière appropriée

---

Questions fréquemment posées

Notre application de télésanté doit-elle être conforme à la loi HIPAA ?

Si votre application de télésanté facilite la communication entre les patients et les entités couvertes par la HIPAA (médecins, hôpitaux, régimes de santé) et que vous gérez les PHI dans le processus, vous êtes presque certainement un associé commercial soumis à la HIPAA. L'analyse détermine si vous créez, recevez, conservez ou transmettez des PHI au nom d'une entité couverte. Si les utilisateurs de votre application interagissent uniquement entre eux (application de bien-être des consommateurs sans implication du CE), la HIPAA peut ne pas s'appliquer, mais la règle de notification des violations de santé de la FTC le fait probablement.

Quelle est la pénalité en cas de violation de la loi HIPAA ?

Les sanctions civiles pécuniaires en vertu de la HIPAA sont classées par culpabilité : violation inconnue (100 $ à 50 000 $ par violation, plafond annuel de 25 000 $) ; motif raisonnable (1 000 $ à 50 000 $ par violation, plafond annuel de 100 000 $) ; négligence intentionnelle corrigée (10 000 $ à 50 000 $, plafond annuel de 250 000 $) ; négligence intentionnelle non corrigée (50 000 $ par violation, plafond annuel de 1,5 million de dollars par catégorie de violation identique). Les sanctions pénales (via le DOJ) peuvent inclure jusqu'à 10 ans d'emprisonnement pour divulgation consciente dans l'intention de vendre des PHI.

Pouvons-nous stocker les ePHI dans AWS ou Azure ?

Oui, avec un BAA en place. AWS et Azure proposent tous deux des BAA couvrant des services spécifiques éligibles à la HIPAA. Pour AWS, vérifiez que chaque service de votre architecture est répertorié dans le calendrier AWS BAA des services éligibles HIPAA : certains services (comme certaines couches Lambda, certaines fonctionnalités S3) peuvent ne pas être couverts. Votre équipe est toujours responsable de la configuration sécurisée de ces services ; le BAA transfère une partie de la responsabilité juridique mais ne rend pas automatiquement votre mise en œuvre conforme.

Quelle est la norme minimale nécessaire et comment affecte-t-elle la conception des applications ?

La norme minimale nécessaire exige que vous accédiez, utilisiez ou divulguiez uniquement les éléments PHI requis à des fins spécifiques. En pratique, cela signifie : si votre fonction d’analyse n’a besoin que de données agrégées anonymisées, n’extrayez pas les dossiers complets des patients ; si votre fonction de facturation a besoin de données de réclamation, elle ne devrait pas avoir accès aux notes cliniques. Concevez votre système pour appliquer la minimisation des données par rôle et fonction, et pas seulement par politique. Le contrôle d'accès basé sur les rôles et la segmentation des données par fonction sont les principales implémentations techniques.

Comment la HIPAA interagit-elle avec le RGPD pour les plateformes mondiales de santé numérique ?

Ils fonctionnent en parallèle. La HIPAA s'applique aux données de santé américaines, quel que soit l'endroit où elles sont traitées. Le RGPD s'applique aux données personnelles des résidents de l'UE, quel que soit le lieu d'établissement du responsable du traitement ou du sous-traitant. Si vous disposez de données sur des patients de l’UE, les deux peuvent s’appliquer simultanément. Les bases juridiques du RGPD et les droits des personnes concernées sont des obligations distinctes des dispositions minimales nécessaires et des droits des patients de la HIPAA. L'implication pratique : vous devrez peut-être satisfaire à la fois une demande d'accès patient HIPAA et une demande d'accès sujet RGPD pour le même patient, en utilisant des processus conformes aux deux cadres.

Notre outil d'analyse marketing est-il un associé commercial HIPAA ?

Potentiellement oui, s’il reçoit ePHI. De nombreuses entreprises de santé numérique partagent par inadvertance des PHI avec des outils d'analyse (Google Analytics, Mixpanel, Amplitude) via des paramètres d'URL, des métadonnées d'événements ou des balises de propriété utilisateur contenant des PHI. Cela a déclenché d’importantes mesures d’application de l’OCR en 2022-2023 contre les hôpitaux utilisant des pixels de suivi qui envoyaient des PHI à Meta et Google. Auditez toutes les intégrations d'analyse, assurez-vous qu'aucun flux de PHI vers des outils d'analyse sans BAA et envisagez d'utiliser des analyses préservant la confidentialité qui fonctionnent uniquement sur des données agrégées ou anonymisées.

---

Prochaines étapes

La création de plateformes de santé numérique conformes à la HIPAA nécessite dès le départ des décisions d'architecture prudentes : la mise à niveau des contrôles de sécurité et de confidentialité dans un système existant est nettement plus coûteuse que leur intégration. L'équipe d'ECOSIRE peut vous aider à concevoir, mettre en œuvre et documenter une architecture technique conforme à la HIPAA pour votre plateforme de santé numérique.

Notre expérience couvre le développement de portails patients, l'architecture d'intégration de DSE, les systèmes backend de télésanté et les plateformes d'analyse de santé, le tout mis en œuvre avec la conformité HIPAA comme contrainte de conception fondamentale.

En savoir plus : Services ECOSIRE

Avertissement : ce guide est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Les exigences HIPAA sont complexes et spécifiques aux faits. Faites appel à un conseiller juridique qualifié en matière de soins de santé et à un responsable de la conformité HIPAA pour obtenir des conseils spécifiques à votre organisation.