HIPAA
Loi fédérale américaine sur les données de santé protégées — la Security Rule impose explicitement un programme de sensibilisation et de formation du personnel.
HIPAA — Health Insurance Portability and Accountability Act de 1996 — est la loi fédérale américaine qui encadre les Protected Health Information (PHI), les données de santé protégées. Son application revient à l’Office for Civil Rights (OCR) du Department of Health and Human Services (HHS). Pour un acheteur sécurité, les parties opérationnelles sont la Privacy Rule (45 CFR Part 164 Subpart E) et surtout la Security Rule (45 CFR Part 164 Subpart C), qui définit les garanties administratives, physiques et techniques pour les PHI sous forme électronique.
HIPAA s’applique à deux catégories d’organisations :
- Covered entities — régimes d’assurance santé, chambres de compensation, et professionnels de santé qui transmettent de l’information de santé par voie électronique.
- Business associates — tout prestataire qui crée, reçoit, conserve ou transmet des PHI pour le compte d’une covered entity. Les éditeurs SaaS qui vendent à la HealthTech américaine signent quasi systématiquement un Business Associate Agreement (BAA) et deviennent directement responsables au titre d’HIPAA.
Ce qui concerne la sensibilisation :
- §164.308(a)(5) — Security Awareness and Training est l’une des quatre garanties administratives obligatoires. Elle impose un « programme de sensibilisation et de formation sécurité pour tous les membres du personnel, encadrement compris ».
- Les spécifications de mise en œuvre comprennent des rappels de sécurité, une protection contre les logiciels malveillants, une surveillance des connexions et la gestion des mots de passe — rédigées en 1996, elles se relisent en 2026 comme une description de nudges contextuels et de surveillance comportementale.
- La Breach Notification Rule (45 CFR §§164.400-414) fixe un délai de 60 jours pour notifier les personnes concernées et le HHS après une violation de PHI non sécurisées — un délai souvent déclenché par les comportements mêmes que la sensibilisation est censée prévenir.
À la différence de HDS, HIPAA est une loi fédérale, pas une certification — il n’existe pas de tampon « HIPAA-certified » émis par le HHS. La conformité se démontre par la documentation : analyse de risque, politiques, registres de formation, et de plus en plus de preuves comportementales sur la façon dont le personnel manipule réellement les PHI au quotidien.
Termes liés
- SOC 2Cadre d'attestation AICPA fondé sur cinq Trust Services Criteria — devenu le passage obligé pour vendre une SaaS B2B en Amérique du Nord.
- ISO/IEC 27001Norme internationale pour un Système de Management de la Sécurité de l'Information (SMSI) — le repère mondial de la certification sécurité.
- HDS (Hébergeur de Données de Santé)Certification française, délivrée par l'ANS, obligatoire pour toute organisation qui héberge des données de santé pour le compte d'un responsable de traitement français.
- PCI-DSSNorme de sécurité des données de cartes bancaires maintenue par le PCI Security Standards Council — l'exigence 12.6 impose un programme formel de sensibilisation.
- Preuve comportementaleArtefact d'audit attestant qu'un comportement risqué a été détecté, qu'un nudge a été envoyé et que le comportement a été corrigé — de plus en plus demandé à la place d'un certificat de complétion.