La loi de 1996 sur la portabilité et la responsabilité en matière d'assurance maladie (Health Insurance Portability and Accountability Act - HIPAA) est complexe. Son texte consolidé compte plus d'une centaine de pages et couvre de nombreux sujets. Bien sûr, la protection de la vie privée est l'un d'entre eux, mais ce n'est pas le seul : il y a des règles sur les normes techniques pour les dossiers médicaux, les droits à la portabilité des données, et ainsi de suite.
En raison de la complexité du texte, il peut être difficile de comprendre certaines des règles de base énoncées dans la loi HIPAA. Il s'agit notamment de la définition même des informations de santé protégées (PHI). Nous sommes là pour vous aider.
- Qu'est-ce que les ISP ?
- Comment les PHI sont-ils définis ?
- Quelle est l'importance de la HIPAA ?
- Réflexions finales
Qu'est-ce que les ISP ?
Lesinformations de santé protégées - généralement appelées PHI - sont exactement ce qui est écrit sur la boîte : des informations de santé protégées par l'HIPAA.
Cela peut sembler banal, mais ce n'est pas le cas. L'HIPAA est une loi sectorielle qui régit les prestataires de soins de santé et les intermédiaires tels que les prestataires de paiement. Elle indique à ces entités ce qu'elles peuvent et ne peuvent pas faire avec les informations médicales, mais ne prévoit pas de protection générale des données médicales, ce qui signifie que d'autres entités peuvent traiter ces informations sans être liées par la HIPAA.
En d'autres termes, l 'HIPAA ne s'applique qu'à certaines données et à certaines entreprises. Cela se reflète dans la manière très compliquée dont les renseignements médicaux personnels sont définis légalement.
Comment les PHI sont-ils définis ?
La définition des PHI combine trois exigences distinctes et cumulatives:
- elles concernent l'état de santé d'une personne ou la fourniture de soins de santé (= il s'agit d'informations sur la santé)
- elles se rapportent à une personne identifiable (= il s'agit d'informations personnellement identifiables - IPI en abrégé)
- elles sont créées par un prestataire de soins de santé ou une autre entité couverte par l'HIPAA.
La première exigence : les informations sur la santé
L'HIPAA ne couvre que les informations liées à l'état de santé d'une personne ou à la fourniture de soins de santé. Il peut s'agir, par exemple, du diagnostic d'une maladie, d'un traitement médical administré ou de la prise d'un rendez-vous avec un professionnel de la santé.
Deuxième condition : se rapporter à une personne identifiée
Toutes les PHI sont des informations identifiables. En d'autres termes, elles identifient directement une personne ou peuvent être raisonnablement utilisées pour l'identifier. Cela signifie qu'elles comprennent des identifiants tels que le nom, l'adresse, l'adresse électronique ou des identifiants uniques (tels que ceux que l'on trouve souvent dans les cookies de suivi).
Troisième condition : les données doivent être collectées par une entité couverte par la loi HIPAA.
Les données ne tombent sous le coup de la loi HIPAA que lorsqu'elles sont collectées par une entité elle-même couverte par la loi. Aussi contre-intuitif que cela puisse paraître, les mêmes informations peuvent être des PHI ou non, en fonction de leur provenance.
Qui est donc couvert par l'HIPAA ?
- les prestataires de soins de santé, tels que les hôpitaux, les praticiens individuels et les pharmacies
- les régimes d'assurance maladie
- les centres d'échange de données sur la santé, c'est-à-dire les intermédiaires pour les données sur la santé. Cela peut parfois inclure les prestataires de services de paiement.
Quelle est l'importance de la HIPAA ?
La loi HIPAA contient un ensemble de règles appelées collectivement " règles de confidentialité". Ces règles prévoient des normes de confidentialité et de sécurité concernant les PHI, y compris des limitations strictes en matière de divulgation.
Les règles relatives à la limitation de la divulgation sont assez complexes, mais pour simplifier à l'extrême :
- les entités couvertes par l'HIPAA peuvent toujours divulguer des PHI lorsque cela est nécessaire pour fournir des soins, pour le fonctionnement du système de santé ou dans d'autres scénarios spécifiques (par exemple, parce qu'une loi les oblige à le faire)
- toutes les autres divulgations nécessitent une autorisation écrite de la personne concernée.
Par exemple, un hôpital peut transmettre les informations relatives à votre traitement à votre compagnie d'assurance à des fins de facturation ou les envoyer à votre nouvel hôpital afin que les professionnels de la santé puissent mieux évaluer la suite du traitement. En revanche, il ne peut pas vendre vos données à des courtiers en données ou les divulguer à un tiers à des fins de marketing, à moins que vous ne l'autorisiez à le faire.
Il est essentiel de comprendre quelles données sont ou ne sont pas des PHI. Si vous êtes couvert par l'HIPAA, cela ne signifie pas que toutes les données que vous contrôlez sont des PHI ! La première étape pour se conformer à l'HIPAA est donc de comprendre exactement à quelles données les PHI s'appliquent et ne s'appliquent pas.
Par exemple, les hôpitaux doivent traiter des informations personnelles identifiables concernant leurs employés pour payer les salaires, mais l'HIPAA ne couvre pas ces données car elles ne sont pas liées aux soins de santé.
Tous les cas ne sont pas tranchés, mais les mêmes règles s'appliquent en permanence : les informations ne sont des PHI que si elles sont personnellement identifiables, qu'elles concernent la santé ou les soins de santé et qu'elles ont été collectées par une entité couverte par la HIPAA.
La loi HIPAA a-t-elle une incidence sur l'analyse des sites web ?
Oui, c'est le cas. Les services d'analyse web qui utilisent des cookies et d'autres mécanismes de suivi peuvent entraîner la divulgation involontaire de données personnelles, ce qui peut engager la responsabilité d'une entité couverte par la loi HIPAA. Le HHS indique également clairement que les bannières de cookies ne sont pas considérées comme une autorisation valide en vertu de la loi HIPAA.
Cela ne signifie pas que vous ne pouvez pas mettre en œuvre des outils d'analyse basés sur le suivi d'une manière conforme à la HIPAA. Vous pouvez toujours le faire si vous évaluez soigneusement le contenu de vos pages web et si vous désactivez toute forme de suivi susceptible d'entraîner une divulgation non autorisée de PHI.
Mais cette démarche est lourde, nécessite un certain degré d'expertise juridique et peut avoir pour conséquence que de nombreuses pages de votre site web soient totalement exclues de votre système d'analyse.
Réflexions finales
Il est important de savoir si vous êtes couvert ou non par la loi HIPAA et si vous traitez des informations personnelles. Si c'est le cas, vous devez prendre les mesures nécessaires pour vous mettre en conformité, ce qui affecte également les pratiques commerciales telles que le suivi des sites web.
Pourquoi nous en soucions-nous ? C'est pour cette raison que nous avons conçu Simple Analytics. Il s'agit d'une alternative à Google Analytics respectueuse de la vie privée qui s'appuie exclusivement sur des données non personnelles pour vous fournir toutes les informations dont vous avez besoin sur les performances de vos sites Web et de vos campagnes de marketing.
Nous croyons en un Internet respectueux de la vie privée et n'utilisons pas de cookies, d'empreintes digitales ou d'autres technologies de suivi pour espionner vos visiteurs.
Si vous croyez également en un Internet respectueux de la vie privée, ou si vous êtes tout simplement fatigué de vous occuper de l'HIPAA et de ses maux de tête liés à la conformité, n'hésitez pas à nous donner un coup de main !