Village de la Justice www.village-justice.com

La protection des données de santé aux Etats Unis : qu’est-ce que l’HIPAA ? Par Stéphane Grynwajc, Avocat.
Parution : vendredi 14 mai 2021
Adresse de l'article original :
https://www.village-justice.com/articles/protection-des-donnees-sante-aux-etats-unis-est-hipaa,39165.html
Reproduction interdite sans autorisation de l'auteur.

Depuis sa mise à jour par l’HITECH Act de 2009, HIPAA, la réglementation fédérale américaine en matière de données de santé, s’applique aux prestataires de soins mais aussi à leurs sous-traitants qui gèrent des informations médicales protégées. S’ajoute à la réglementation fédérale une myriade d’autres lois sectorielles et étatiques, qui peuvent s’appliquer à vos activités, en complément ou remplacement de ces lois fédérales.

Le droit à la vie privée touche à plusieurs aspects de notre vie, et il est particulièrement important lorsqu’il protège l’accès aux informations les plus intimes et personnelles comme notre santé. Le secret médical est primordial pour une bonne relation entre le patient et son médecin. Cela dit, ce secret ne s’arrête pas là, le médecin n’est pas la seule personne à avoir accès à des informations médicales. En effet, dès lors qu’une information médicale est stockée sur un support tangible, il existe un risque qu’elle soit accessible par d’autres. Il peut être très important pour une personne que son état de santé ne soit pas, par exemple, divulgué à son employeur. Dans un monde ou les informations sont stockées en majeure partie en ligne ou à l’aide d’un ordinateur, l’accès aux données médicales n’a jamais été plus aisé.
Les Etats-Unis ont assez tôt pris la mesure de ces nouveaux risques en adoptant la loi « Health Insurance Portability and Accountability Act (HIPAA) » en 1996 puis sa mise à jour via le « Health Information Technology for Economic and Clinical Health Act (HITECH Act) » en 2009, afin de réglementer les bonnes pratiques en matière de protection des données personnelles dans le milieu de la santé.

Il est important de noter qu’aux Etats-Unis il existe des lois fédérales, dont font partie HIPAA et l’HITECH Act, mais qu’il existe également des lois étatiques qui peuvent être différentes des lois fédérales. Si une loi étatique est plus stricte que l’HIPAA ou l’HITECH Act, c’est la loi de cet Etat qui va trouver à s’appliquer en cas de conflit s’agissant d’un litige pour lequel les tribunaux de l’Etat en question ont compétence.

Qui est concerné par ces lois fédérales ?

Le champ d’application de HIPAA et de l’HITECH Act peut paraître assez restreint. En effet, ces lois concernent avant tout les prestataires de soins, comme les cabinets médicaux ou les hôpitaux, ainsi que les compagnies d’assurance maladie et les mutuelles. Cependant, depuis la mise en place de l’HITECH Act, ce champ d’application s’est élargi aux personnes ou entreprises qui travaillent pour des prestataires de soins, ou compagnies d’assurance lorsque le secteur d’activité inclut l’utilisation d’informations médicales protégées. Aux Etats-Unis ces personnes ou entreprises sont appelées des « Business Associates » [1].

Avant la mise en place de l’HITECH Act, les Business Associates n’entraient pas dans le champ d’application de l’HIPAA, et ne devaient respecter la vie privée et les données personnelles de tiers que pour autant que leurs contrats avec les prestataires de soins les y obligeaient.

Aujourd’hui, HIPAA et l’HITECH Act s’appliquent aux prestataires de soins, aux compagnies d’assurance maladie, aux mutuelles, ainsi qu’à toute personne ou entreprise en relation d’affaires avec des prestataires de soins ou autres qui traitent d’informations médicales protégées.

Qu’est-ce qu’une information médicale protégée par l’HIPAA et l’HITECH Act ?

Une information médicale protégée par l’HIPAA est une information sur l’état de santé passé, présent, ou futur d’un individu, qui identifie directement l’individu ou donne suffisamment d’informations pour permettre l’identification de cet individu.

L’information médicale protégée peut être sous n’importe quelle forme. Elle peut être transmise ou simplement détenue.

À noter : Les paiements, ou remboursements des frais médicaux sont aussi considérés comme des informations médicales protégées.

Quelles sont les règles de sécurité à suivre pour être en conformité avec HIPAA et l’HITECH Act ?

À noter : Les règles de sécurité suivantes s’appliquent uniquement pour les informations médicales protégées sous forme électronique.

Les plus importantes règles de sécurité sont :
- 1 – Assurer la confidentialité, l’intégrité, et la disponibilité de toutes informations médicales protégées que les prestataires de soins ou autres personnes entrant dans le champs d’application de HIPAA, créent, reçoivent, conservent, ou transmettent ;
- 2 – Anticiper les risques d’attaques par la mise en place de moyens de sécurité adéquats ;
- 3 – S’assurer que les employés de son organisation respectent les règles de sécurité mises en place et anticipent les risques de mauvais usages des informations médicales protégées ;
- 4 – Une personne doit être désignée comme responsable de la mise en place et du suivi des mesures de sécurité ;
- 5 – Régulièrement faire des évaluations de risque et remédier aux problèmes encourus.

HIPAA impose une obligation de moyens, et non de résultat. Il convient, cependant, de prendre ces règles au sérieux, et de mettre en place des mesures de protection raisonnables.

Il existe un grand nombre d’autres règles à suivre pour être conforme à HIPAA et à l’HITECH Act.

Pour plus d’informations sur les règles à suivre, HIPAA et l’HITECH Act peuvent être examinés en détails sur le site internet du « Department of Health & Human Services ».

Que faire en cas de violation des informations médicales protégées ?

Tout d’abord il faut évaluer l’ampleur de la violation. Si le risque de préjudice financier, personnel (réputation) ou autre est trop élevé, le prestataire de soins doit informer les individus concernés dans un délai de 60 jours à partir de la découverte de la violation [2].
Les « Business Associates » travaillant pour un prestataire de soins doivent informer ce dernier de toutes violations décelées [3].

Si la violation affecte plus de 500 personnes sur tout le territoire américain, le prestataire de soins doit informer le « Department of Health & Human Services ».

Si la violation affecte plus de 500 personnes dans un seul Etat (ex : plus de 500 personnes touchées à New York) le prestataire de soins doit en informer les médias [4].

Pourquoi prendre HIPAA et l’HITECH Act au sérieux ?

En cas de non respect des règles établies par HIPAA et l’HITECH Act, le prix à payer peut être extrêmement élevé. En effet, le montant des dommages et intérêts peut aller jusqu’à 1,5 million de dollars et des sanctions pénales peuvent aussi être imposées dans les cas les plus extrêmes de non respect des règles par les prestataires de soins. De plus, le prestataire de soins peut être tenu pour responsable même s’il n’a pas connaissance de la mauvaise utilisation des informations médicales protégées [5].

Attention, les « Business Associates » ne sont pas à l’abri des remontrances. HIPAA s’applique aussi à eux, et les « Business Associates » ont des obligations envers le prestataire de soins pour lequel ils travaillent, et notamment une obligation de notification en cas de violation. Ces obligations sont contenues dans le contrat (Business Associate Agreement) et en général il existe des provisions qui rendent le « Business Associate » responsable en cas de violation des informations médicales protégées.

En conclusion, HIPAA et l’HITECH Act s’appliquent au niveau fédéral, et aux prestataires de soins, ainsi qu’à leurs sous-traitants qui gèrent des informations médicales protégées. Ces lois énoncent des règles de sécurité strictes, qu’il ne faut pas prendre à la légère. Cependant, il ne faut pas non plus oublier les autres lois, notamment étatiques, qui peuvent s’appliquer à vos activités, en complément ou remplacement de ces lois fédérales.

Stéphane Grynwajc Avocat aux barreaux de Paris, de New-York, et du Québec Solicitor (England and Wales) Cabinet S. Grynwajc www.transatlantic-lawyer.com/fr [->stephane@avocat-transatlantique.com]

[142 U.S.C. § 17921(2).

[242 U.S.C. § 17932.

[342 U.S.C. § 17932 (h).

[442 U.S.C. § 17932 (e)2, 3

[542 U.S.C. § 1320d-5.