HIPAA : les startups françaises sont aussi concernées !

//HIPAA : les startups françaises sont aussi concernées !

HIPAA : les startups françaises sont aussi concernées !

Par |2019-06-01T03:10:53+00:00May 31st, 2019|Actualités|0 commentaires

Votre société fournit des produits ou services à destination du secteur de la santé aux Etats-Unis, soit directement, soit par l’intermédiaire d’autres acteurs eux-mêmes fournisseurs de produits ou services à destination d’organismes de santé américain. Du point de vue de la législation fédérale américaine sur les données de santé, à partir du moment où vos activités vous amènent à traiter des données personnelles de vos clients vous entrez dans la définition de « Business Associate », ce qui vous impose de respecter la législation américaine, et notamment de signer le « Business Associate Agreement » ou « BAA » que votre client vous impose.

Dans un article que nous avions publié en 2015 sur ce blog nous vous avions présenté la réglementation fédérale américaine en matière de protection des données de santé. Le Health Insurance Portability and Accountability Act, ou «HIPAA », adopté par le Congrès des Etats Unis en 1996, concerne la santé et l’assurance maladie. L’un des principaux objectifs du HIPAA est de protéger la confidentialité des données de santé des personnes tout en permettant aux entités visées par la loi (les « Covered Entities ») d’adopter de nouvelles technologies permettant d’améliorer la qualité et l’efficacité des soins aux patients.

HIPAA protège la confidentialité des données de santé, ou « Protected Health Information » (« PHI ») en droit américain, qu’une entité soumise à cette réglementation crée, reçoit, conserve ou transmet à des tiers.

HIPAA ne s’applique directement qu’aux entités suivantes : les régimes de soins de santé, les centres d’information sur les soins de santé et certains fournisseurs de soins de santé. Toutefois, la plupart des fournisseurs de soins de santé et des régimes de soins de santé ne s’acquittent pas seuls de toutes leurs activités et font régulièrement appel à d’autres sociétés, ou sous-traitants. C’est là que vous entrez en jeu.

Entrent notamment dans la définition de «Business Associate » des sociétés telles que les fournisseurs de fichiers médicaux électroniques, les fournisseurs d’infrastructures en nuage (« cloud providers »), les développeurs d’applications mobiles, les consultants et fournisseurs de services en mode SaaS (« Software As A Service »). De plus, si votre société est sous-traitante d’une autre société elle-même « Business Associate » au sens de la loi, il y a de grandes chances pour que vous le soyez également.

HIPAA  autorise les organismes qu’elle réglemente à divulguer à des fins d’externalisation ou de sous-traitance de prestations les données médicales qu’elles détiennent sous réserve que les « Business Associates » destinataires de ces données :

  • n’utilisent les informations reçues qu’aux fins des services pour lesquels ils ont été retenus par l’organisme de santé ;
  • protègent ces informations contre toute utilisation abusive ; et
  • aident l’organisme de santé à respecter certaines de ses obligations en vertu de la loi.

HIPAA a été modifié en 2009 par le Health Information Technology for Economic and Clinical Health Act, ou HITECH Act, lequel  a étendu le champ d’application de la loi fédérale aux sous-traitants et autres partenaires commerciaux des organismes de santé.

Afin de déterminer si et dans quelle mesure HIPAA vous est applicable, vous devez répondre à 3 questions :

1 –  Suis-je, du fait de mon activité, considéré comme un « Business Associate » au titre de la loi ?

2 – Si oui, quelles sont mes obligations en tant que tel ?

3 – Qu’est ce qu’un « Business Associate Agreement » ?

Qu’est-ce qu’un « Business Associate » au sens du HIPAA

HIPAA définit le « Business Associate » comme toute organisation ou personne travaillant en association avec ou fournissant des services à un organisme couvert par la loi et qui traite ou divulgue des données de santé protégées par la loi.

En tant que fournisseur de services dans le domaine de la santé, vous serez considéré(e) comme un « Business Associate » pour vos clients s’ils sont eux-même des “Covered Entities” au sens du HIPAA et qu’ils partagent avec vous ou qu’ils vous donnent quelque accès que ce soit aux les données de leurs patients.

Voici d’autres exemples de « Business Associate » selon HIPAA :

  • Un tiers administrateur qui aide un régime de soins à traiter les demandes de règlement.
  • Un organisme dont les services comptables à un fournisseur de soins de santé comprennent l’accès à des données de santé protégées.
  • Un avocat dont les services à destination d’un régime d’assurance-maladie comprennent l’accès à des données de santé protégées.
  • Un consultant qui effectue des examens pour le compte d’un hôpital.
  • Un centre d’informations sur les soins de santé qui traduit une demande de règlement d’un format non standard en une transaction standard au nom d’un fournisseur de soins de santé et qui transmet l’opération traitée à un payeur.
  • Un transcripteur médical indépendant qui fournit des services de transcription à un médecin.
  • Un gestionnaire de prestations pharmaceutiques qui gère le réseau de pharmaciens d’un régime de soins de santé.

Quelles sont les obligations du « Business Associate » ?

En plus des obligations contractuelles imposées par le BAA, qu’on expose ci-dessous, les « Business Associates » sont directement responsables du respect de certaines dispositions du HIPAA.

Ainsi, un « Business Associate » doit prendre certaines mesures prescrites pour protéger les données de santé et est également tenu, entre autres obligations, de déclarer les violations du HIPAA aux organismes de santé concernés. Les infractions à ces règles peuvcent non seulement donner lieu à d’importantes sanctions civiles et pénales, mais peuvent aussi avoir un effet dévastateur sur votre capacité à attirer de nouvelles entreprises sur le marché américain.

Qu’est-ce qu’un BAA ?

L’objectif du BAA est pour l’organisme de santé de s’assurer que son sous-traitant respecte bien les obligations du HIPAA. Il dessine également les contours du partage de responsabilité entre les parties. Sachez que tous les BAA ne sont pas les mêmes, même s’il existe des contrats standardisés.

Le BAA doit :

  • Établir les règles d’utilisation et de divulgation des données de santé protégées par le « Business Associate » ;
  • Prévoir que le « Business Associate » n’utilisera pas ou ne divulguera pas de données de santé autres que ce qui est permis ou requis par le contrat ou qui est exigé par la loi ;
  • Exiger du « Business Associate » qu’il mette en œuvre des mesures de protection appropriées pour prévenir l’utilisation ou la divulgation non autorisée des données de santé (la « Security Rule » du HIPAA) ;
  • Exiger du « Business Associate » qu’il signale à l’organisme de santé toute utilisation ou divulgation des données non prévue par son contrat, y compris toute faille sécuritaire affectant des données de santé non protégées au titre de la loi;
  • Exiger du « Business Associate » qu’il divulgue des données de santé protégées pour autant que nécessaire afin de permettre à l’organisme de santé de répondre aux demandes d’accès des personnes concernées, ainsi qu’aux fins de modification de ces données sur les registres de l’organisme ;
  • Exiger du « Business Associate » qu’il respecte les exigences du HIPAA en matière de confidentialité des données (la « Privacy Rule » du HIPAA) ;
  • Exiger du « Business Associate » qu’il mette à la disposition du Department of Health & Human Services, ou « HHS », l’agence gouvernementale fédérale chargée de contrôler la bonne application du HIPAA, ses pratiques internes, livres et dossiers concernant l’utilisation et la divulgation des données de santé protégées créées ou reçues par lui au nom de l’organisme de santé afin de déterminer la conformité à la loi de ces dernières
  • A la résiliation du contrat, si possible, exiger du « Business Associate » qu’il retourne ou détruise toutes les données de santé protégées reçus de organisme de santé concerné ou créées ou reçues par lui au nom de organisme visé ;
  • Exiger du « Business Associate » qu’il s’assure que tout sous-traitant qu’il engage pour son compte et qui aura accès aux données de santé protégées accepte les mêmes restrictions et conditions qui s’appliquent à lui relativement à ces données ; et
  • Autoriser la résiliation du contrat par l’organisme de santé concerné en cas de violation d’une des stipulations essentielles du contrat. Les contrats entre les partenaires commerciaux et leurs sous-traitants sont soumis aux mêmes exigences.

Peut-on négocier un BAA ?

Bien que le HIPAA impose certaines conditions, il reste tout de même de la place pour des négociations.  Par exemple, les délais de signalement des atteintes à la sécurité ou des incidents de sécurité font souvent l’objet de négociations.  Il en va de même des délais concernant l’exercice des droits individuels (accès, modification et tenue des registres).  Le HIPAA prévoit généralement les délais maximaux qui doivent être inclus ; cependant, les organismes de santé prévoient souvent des délais beaucoup plus courts dans leurs accords avec des partenaires commerciaux et autres sous-traitants.

En tant que « Business Sssociate », vous devez veiller à ne pas vous engager outre mesure. De plus, certaines des exigences relatives aux droits individuels peuvent ne pas s’appliquer si votre société ne tient pas un ensemble de fichiers désignés (p. ex. des dossiers médicaux ou des dossiers de payeur) au nom de l’organisme de santé visé.

Les BAA sont généralement accompagnés d’un contrat de service sous-jacent entre le Business Associate et l’organisme de santé concerné. Vous pouvez tout à fait inclure une limitation de responsabilité dans votre contrat de service avec votre client, mais cette protection pourrait être perdue si l’organisme de santé inclut une stipulation dans le BAA qui annule toute limitation de responsabilité en cas de violation de l’accord. C’est un autre domaine dans lequel le « Business Associate » devrait chercher à négocier un compromis.

Veillez également à vérifier les clauses concernant l’indemnisation. Bien que l’HIPAA n’exige pas d’inclusion de clauses d’indemnisation (ou garantie d’éviction) dans le BAA, la plupart des organismes de santé les incluront dans ces contrats à destination de leurs sous-traitants et, très souvent, elles sont unilatérales. Les entreprises en démarrage devraient tenter de supprimer ces clauses en bloc ou, à tout le moins, de négocier des clauses d’indemnisation plus équilibrées ou d’en restreindre l’applicabilité aux seuls cas où il y a accès non autorisé aux données de santé protégées.

Enfin, faites attention, ne signez surtout pas un BAA sans avoir bien vérifié que vous entrez bien dans la définition de « Business Associate », afin de vous éviter des obligations lourdes inutiles.

Dans cette démarchefaire appel aux services d’un avocat local et spécialisé dans ces questions est donc crucial.

En conséquence, n’hésitez pas à revenir vers nous si vous avez des questions !

Cet article a été rédigé avec la collaboration de Marie-Victoire Wickers