Les entreprises qui traitent des informations de santé, que ce soit à destination ou en provenance des États-Unis, doivent se conformer à la réglementation HIPAA. Obtenez un aperçu de toutes les dispositions importantes et approfondissez vos connaissances du rôle de la conformité HIPAA dans la gestion documentaire.

Qu’est-ce que l’HIPAA ?

L’acronyme HIPAA signifie Health Insurance Portability and Accountability Act. L’HIPAA repose sur une loi américaine de 1996 qui vise à réglementer le traitement des informations de santé et les données des patients. Elle impose aux entités qui stockent, traitent et transmettent des informations de santé protégées de se conformer à certaines normes de confidentialité et de prendre les mesures de sécurité nécessaires à la protection de ces informations.

Le ministère américain de la Santé et des Services sociaux (HHS) est chargé de la mise en œuvre de cette loi.

Objectifs de la réglementation HIPAA

La réglementation HIPAA poursuit les objectifs suivants :

• Créer des politiques juridiquement contraignantes pour la gestion des données de santé
• Moderniser la circulation des informations dans le secteur de la santé
• Améliorer l’efficacité
• Promouvoir une interopérabilité sûre et efficace (échange et communication entre systèmes et organisations)
• Assurer la portabilité (c’est-à-dire la possibilité de bénéficier des avantages sociaux en cas de changement d’employeur) et éviter ainsi les lacunes dans la couverture de l’assurance maladie.

Que dit l’HIPAA ?

Les dispositions de la loi HIPAA vont de la protection de la vie privée des patients aux contrôles de sécurité destinés à protéger les informations personnelles, en passant par les règles à suivre en cas d’infraction ou de violation de la sécurité. Cette loi comprend plusieurs sections ou règles :

• Règle de confidentialité HIPAA : cette section réglemente les données de santé à protéger et définit les normes applicables en matière de protection des données. Elle énumère également les exceptions lors desquelles les données des patients peuvent ou doivent être fournies sans consentement. Il peut s’agir, par exemple, de victimes de violences conjugales, de procédures judiciaires et de dons d’organes.
• Règle de sécurité HIPAA : la loi HIPAA définit les mesures de protection spécifiques à adopter par les entreprises pour protéger les informations de santé et en contrôler l’accès. Il peut s’agir, par exemple, de garantir les principes de la sécurité de l’information (c’est-à-dire la confidentialité, l’intégrité et la disponibilité), d’identifier les risques et menaces potentiels en matière de sécurité et de former les employés au respect de la réglementation HIPAA.
• Règle de notification des violations : en cas de faille de sécurité, les entreprises sont tenues d’informer les patients concernés et les autorités sanitaires. Les obligations exactes en matière de déclaration dépendent du nombre de personnes touchées.

En outre, la réglementation HIPAA décrit les droits et obligations des autorités lorsqu’elles appliquent la réglementation (règle d’application). La loi fixe également des critères d’interopérabilité. Il peut s’agir, par exemple, de veiller à ce que les prestataires de soins de santé soient clairement identifiables.

HIPAA et RGPD

L’HIPAA est souvent considérée comme l’équivalent américain du Règlement général sur la protection des données (RGPD) de l’UE. Il existe toutefois des différences importantes :

• Le RGPD s’applique à toutes les données à caractère personnel, tandis que l’HIPAA ne porte que sur les données de santé.
• La réglementation HIPAA ne se limite pas aux aspects de confidentialité des données. Par exemple, elle comporte également des lignes directrices sur l’interopérabilité et les droits des autorités. Ces éléments ne figurent pas dans le RGPD.
• L’HIPAA et le RGPD exigent tous deux des mesures techniques et organisationnelles. Toutefois, ces derniers sont définis de manière plus précise dans l’HIPAA que dans le RGPD.

Si vous traitez des données de santé provenant des États-Unis ou de l’Union européenne, vous devez procéder à un examen minutieux des points de ces deux réglementations.

Quelles sont les informations protégées par la loi HIPAA ?

L’HIPAA vise à protéger les informations personnelles des patients, créées, reçues, stockées et transmises dans un contexte médical et permettant l’identification d’un individu. L’HIPAA désigne ces données comme des informations de santé protégées (PHI). Il s’agit de toute information relative à la santé d’une personne, à ses soins médicaux ou au paiement de ces soins.

Voici quelques exemples de PHI :

• Nom et adresse d’un patient
• Dates de naissance et de décès
• Numéro de sécurité sociale
• Numéro de compte
• Photos
• Résultats
• Ordonnances et prescriptions médicales

La réglementation HIPAA s’applique aux informations de santé protégées, sous quelque forme et sur quelque support que ce soit, qu’elles soient orales, écrites, au format papier ou électroniques.

Qui doit se conformer aux dispositions de la loi HIPAA ?

Les dispositions de la loi HIPAA s’appliquent aux prestataires de services de santé, aux mutuelles et aux centres d’échange de données de santé qui traitent des données de santé protégées. On les désigne par le terme d’entités couvertes. Tous les partenaires commerciaux et les associés ayant accès aux informations relatives aux patients et contribuant au traitement, au paiement ou aux opérations doivent également se conformer aux dispositions de la loi HIPAA. Il s’agit, par exemple, des conseillers fiscaux, des avocats, des prestataires de services informatiques, des fournisseurs de services d’hébergement et de cloud, ainsi que des services de comptabilité et des spécialistes du stockage de documents.

Les types d’entreprises et d’organisations ci-après relèvent de la loi HIPAA :

Assureurs mutualistes

• Prestataires de soins de santé (médecins, dentistes, thérapeutes, infirmières, etc.)
• Établissements de santé (hôpitaux, cliniques, maisons de retraite, etc.)
• Pharmacies
• Établissements de soins de longue durée
• Organismes de recherche
• Autorités de santé publique
• Employeurs
• Écoles et universités

La loi HIPAA s’applique-t-elle également aux entreprises étrangères ?

L’HIPAA est une loi américaine qui s’applique principalement aux acteurs américains de la santé. Toutefois, elle peut également concerner des organisations et entreprises non américaines, si elles traitent des données de santé de citoyens américains.

Cela peut être le cas lorsqu’une entreprise étrangère opérant aux États-Unis traite des données de patients américains, par exemple lorsqu’elle collabore avec un établissement de soins de santé américain.

Autre exemple : une entreprise peut transférer des données médicales des États-Unis vers un autre pays. Dans ce cas, toutes les lois spécifiques du pays en question doivent être respectées, y compris la réglementation HIPAA.

Bon à savoir : en juillet 2023, la Commission européenne a adopté la décision d’adéquation du cadre de protection des données personnelles UE-États-Unis (qui succède au bouclier de protection des données UE-États-Unis). Cet accord entre les États-Unis et l’UE régit la protection des données personnelles des citoyens de l’UE transférées vers des entreprises américaines certifiées.

Quelles sont les conséquences de la non-conformité ?

Les entreprises considérées comme des « entités couvertes » qui ne se conforment pas aux exigences légales de la loi HIPAA s’exposent à de lourdes sanctions civiles et/ou à de sévères sanctions pénales. Le montant d’une pénalité HIPAA dépend de la gravité de la violation. Outre les amendes pouvant aller jusqu’à 50 000 dollars par infraction, des peines d’emprisonnement sont également possibles. Dans les cas extrêmes, l’entreprise concernée peut être amenée à cesser ses activités.

Les violations peuvent également nuire à la réputation et éroder la confiance dont jouit une entreprise. La loi HIPAA stipule que le ministère américain de la Santé est tenu de mettre en ligne toutes les violations affectant un seuil de 500 personnes. Disponible sur le portail de l’Office for Civil Rights (OCR), la liste des violations de données est appelée « HIPAA Wall of Shame ». Les personnes concernées peuvent également signaler d’éventuelles violations sur ce portail.

Pourquoi la conformité avec la loi HIPAA est-elle importante ?

La conformité à la réglementation HIPAA est importante non seulement pour éviter de lourdes amendes. La confiance joue également un rôle crucial, en particulier dans le secteur de la santé. Lorsque vous vous conformez à la réglementation HIPAA, vos clients ont alors la certitude que vous protégez leurs données en toute sécurité.

Les données de santé comportent également des informations très précieuses qui sont à la fois essentielles pour votre entreprise et très convoitées par les pirates informatiques. Outre les informations de santé, ces données comprennent aussi des informations sur l’identité d’une personne et des données financières sensibles. Elles peuvent être exploitées pour l’usurpation d’identité et les attaques d’hameçonnage ciblées, par exemple.

En raison du niveau élevé des menaces qui pèsent sur la sécurité et de leur grande valeur, ces données de santé méritent d’être particulièrement bien protégées.

7 éléments d’un programme de conformité HIPAA

Selon le ministère américain de la Santé, les sept éléments suivants constituent le minimum à respecter dans le cadre d’un programme de conformité HIPAA efficace :

1. Mettre en œuvre des politiques, procédures et normes écrites
2. Nommer un responsable de la mise en conformité
3. Former et éduquer le personnel
4. Développer des canaux de communication efficaces
5. Effectuer régulièrement des contrôles, des audits et un reporting en interne
6. Appliquer les politiques disciplinaires en cas de violation de la conformité
7. Réagir rapidement aux violations potentielles et mettre en œuvre des actions correctives

Qu’est-ce que la loi HITECH ?

Lorsque la loi HIPAA a été adoptée en 1996, la gestion des informations relatives aux patients s’effectuait essentiellement au moyen de dossiers papier. Avec les progrès technologiques et la diffusion d’Internet, le dossier de santé électronique (DSE) a gagné en popularité dans le secteur de la santé. Pour accélérer cette évolution et adapter les mesures de sécurité aux exigences du monde numérique, la réglementation HIPAA a été amendée à plusieurs reprises.

En 2009, la loi HITECH (Health Information Technology for Economic Clinical Health Act - HITECH Act) est entrée en vigueur sous la forme d’un amendement à la loi HIPAA. Cette loi vise à promouvoir l’utilisation du dossier de santé électronique, diminuer le nombre de dossiers papier et simplifier la communication entre les systèmes de santé. Dans le même temps, la loi HITECH renforce l’application de la loi, durcit les sanctions en cas de violation et élargit les obligations en matière de protection et de sécurité des données, en particulier pour les partenaires commerciaux des « entités couvertes ». La loi HITECH a été ajoutée au cadre juridique de la loi HIPAA en 2013 sous la forme de la règle HIPAA Omnibus.

Existe-t-il une GED conforme à la loi HIPAA ?

Les éditeurs de logiciels ne font pas partie des « entités couvertes », mais ils sont considérés comme étant leurs partenaires commerciaux. Cela signifie qu’ils doivent créer les conditions permettant aux organisations et aux entreprises du secteur de la santé d’utiliser leurs logiciels, par exemple, pour la gestion documentaire conforme à la réglementation HIPAA.

Aux États-Unis, les logiciels peuvent être certifiés, mais pas par un organisme d’accréditation gouvernemental. Cela ne signifie pas non plus que le logiciel est conforme à la réglementation HIPAA, mais seulement qu’il permet aux utilisateurs de travailler conformément aux dispositions de cette loi. De même, les logiciels eux-mêmes ne sont pas conformes au RGPD. Ils facilitent l’exécution de tâches conformes au RGPD par le biais des options de configuration et les modalités d’utilisation du système.

La gestion documentaire dans le secteur de la santé avec SER

Un système de gestion documentaire (GED) est un outil important qui facilite la gestion des informations de santé et permet de supprimer définitivement les dossiers papier. Dans le dossier électronique du patient de Doxis, vous pouvez facilement stocker toutes les informations et tous les documents pertinents, créer des dossiers individuels, archiver les rapports de laboratoire, les images d’endoscopie, de radiologie et d’autres types d’images, et obtenir à tout moment une vue d’ensemble des antécédents médicaux du patient.

Grâce à son large éventail d’options d’intégration, Doxis peut facilement se connecter à d’autres systèmes tels que les systèmes d’information de santé (HIS), les ERP, les systèmes d’archivage et de transmission d’images (PACS) et les systèmes d'information radiologique (RIS), afin de centraliser toutes les informations. Vous pouvez également prévisualiser des types de documents spéciaux, tels que les images radiographiques, directement dans votre GED. Les informations sont également accessibles sur les appareils mobiles, ce qui facilite les visites médicales, par exemple.

Autre avantage de Doxis : son dossier électronique du patient qui fournit une connexion sécurisée au dossier électronique du patient ; en 2021, les mutuelles allemandes ont commencé à fournir à leurs clients un accès à leur dossier électronique médical par le biais d’une application.

Chez SER, nous pensons qu’il est important de fournir une solution conforme à toutes les normes sectorielles et vous permettant également de travailler sans problème dans un environnement conforme au RGPD et à la loi HIPAA.

Questions fréquentes sur la réglementation HIPAA