Health Insurance Portability and Accountability Act (HIPAA) & Health Information Technology for Economic and Clinical Health (HITECH) Act

Vue d’ensemble de HIPAA et de la loi HITECH

La Health Insurance Portability and Accountability Act de 1996 (HIPAA) et les réglementations émises en vertu de l’HIPAA sont un ensemble de lois américaines sur la santé qui établissent des exigences pour l’utilisation, la divulgation et la protection des informations de santé identifiables individuellement. L’étendue de l’HIPAA a été étendue avec l’adoption de la loi HITECH (Health Information Technology for Economic and Clinical Health) en 2009.

HIPAA s’applique aux entités couvertes (plus précisément, les fournisseurs de soins de santé, les plans de santé et les établissements de soins de santé) qui créent, reçoivent, gèrent, transmettent ou accèdent aux informations médicales protégées (PHI) des patients. HIPAA s’applique également aux associés commerciaux d’entités couvertes qui effectuent certaines fonctions ou activités impliquant PHI dans le cadre de la fourniture de services à l’entité couverte ou pour le compte de l’entité couverte.

Lorsqu’une entité couverte engage les services d’un fournisseur de services cloud, tel que Microsoft, le fournisseur de services cloud est associé à l’entreprise sous HIPAA. En outre, lorsqu’une entreprise associe des sous-traitants à un fournisseur de services cloud pour créer, recevoir, gérer ou transmettre des données PHI, le fournisseur de services cloud devient également associé à l’entreprise.

Microsoft, HIPAA et la loi HITECH

Les réglementations HIPAA exigent que les entités couvertes (définies en vertu des Règles) concluent des accords avec des associés commerciaux pour s’assurer que PHI est adéquatement protégé. Ce contrat est appelé contrat d’associé commercial. Entre autres choses, un Contrat d’associé commercial établit les utilisations et divulgations autorisées et requises de PHI par l’associé commercial, en fonction de la relation entre les parties et les activités ou services effectués par l’associé commercial. Pour prendre en charge la conformité de nos clients avec HIPAA lors de l’utilisation de produits et services d’entreprise Microsoft, Microsoft conclut des contrats d’association d’entreprise avec son entité couverte et ses clients associés professionnels.

Il n’existe actuellement aucune norme de certification approuvée par le ministère de la Santé et des Services sociaux pour démontrer la conformité à HIPAA ou à la Loi HITECH par un associé commercial. Toutefois, Microsoft permet aux clients de se conformer à HIPAA et à la loi HITECH et respecte les exigences de règle de sécurité de HIPAA en tant qu’associé commercial. En outre, Microsoft conclut des contrats d’association d’entreprise avec son entité couverte et ses clients associés pour prendre en charge leur conformité aux obligations HIPAA.

Certifications tierces

Les services Microsoft couverts par la BAA ont fait l’objet d’audits effectués par des auditeurs indépendants accrédités pour la certification Microsoft ISO/IEC 27001 et la certification CSF HITRUST.

Les services cloud d’entreprise Microsoft sont également couverts par les évaluations FedRAMP. Microsoft Azure et Microsoft Azure Government ont reçu une autorité provisoire d’exploitation de la Commission d’autorisation conjointe FedRAMP; Microsoft Dynamics 365 U.S. Government a reçu une autorité d’agence pour fonctionner du Département américain du logement et du développement urbain, comme l’a fait Microsoft Office 365 gouvernement des États-Unis du Département de la santé et des services à la personne des États-Unis.

Pour savoir comment Microsoft Cloud aide les clients à prendre en charge HIPAA et les exigences HITECH, visitez Microsoft Customer Stories.

Services de plateformes & cloud microsoft dans l’étendue

• Azure et Azure Government
• Azure DevOps Services
• Dynamics 365 et Dynamics 365 U.S. Governement
• Intune
• Microsoft Defender for Cloud Apps
• Microsoft Healthcare Bot Service
• Bureau géré Microsoft
• Services professionnels Microsoft : Premier et sur site pour Azure, Dynamics 365, Intune et pour les clients des entreprises moyennes et grandes de Microsoft 365 Entreprise
• Office 365, Office 365 gouvernement des États-Unis
• Service Cloud Power Automate (anciennement Microsoft Flow), soit en service autonome, soit inclus dans un plan ou une suite Office 365 ou Dynamics 365
• Service Cloud PowerApps, soit en service autonome, soit inclus dans un plan ou une suite Office 365 ou Dynamics 365
• Service cloud Power BI en tant que service autonome ou inclus dans un plan ou une suite de marque Office 365 ou Dynamics 365
• Windows 365

Azure, Dynamics 365 et HIPAA

Pour plus d’informations sur Azure, Dynamics 365 et d’autres services en ligne conformité, consultez l’offre HIPAA Azure.

Office 365 et HIPAA

environnements Office 365

Microsoft Office 365 est une plateforme cloud hyperscale mutualisée et une expérience intégrée d’applications et de services disponibles pour les clients de plusieurs régions du monde. La plupart des services Office 365 permettent aux clients de spécifier la région où se trouvent leurs données client. Microsoft peut répliquer des données client vers d’autres régions au sein de la même zone géographique (par exemple, les États-Unis) pour la résilience des données, mais Microsoft ne répliquera pas les données client en dehors de la zone géographique choisie.

Cette section décrit les environnements Office 365 suivants :

• Logiciel client (client): logiciel client commercial en cours d’exécution sur les appareils clients.
• Office 365 (commercial) : service cloud Office 365 public commercial disponible dans le monde entier.
• Cloud de la communauté du secteur public Office 365 (GCC) : le Service cloud Office 365 GCC est disponible pour le gouvernement fédéral, d’état, local et tribaux des États-Unis, et pour les sous-traitants qui détiennent ou traitent des données pour le compte du gouvernement des États-Unis.
• Cloud de la communauté du secteur public Office 365 - Haut (GCC High): le Service cloud Office 365 GCC High est conçu conformément aux instructions des exigences de contrôle de sécurité de niveau 4 du Ministère de la défense (DoD) et prend en charge les informations fédérales et de défense strictement réglementées. Cet environnement est utilisé par les agences fédérales, la Base industrielle de défense (DIB) et les sous-traitants du secteur public.
• Office 365 DoD (DoD): le Service cloud Office 365 DoD est conçu conformément aux contrôles de niveau 5 des directives de sécurité et prend en charge des réglementations fédérales et de défense strictes. Cet environnement est destiné à une utilisation exclusive par le département de la Défense des États-Unis.

Utilisez cette section pour vous aider à respecter vos obligations de conformité entre les secteurs réglementés et les marchés mondiaux. Pour savoir quels services sont disponibles dans quelles régions, consultez l’articleInformations sur la disponibilité internationale etOù vos données client Microsoft 365 sont stockées. Pour plus d’informations sur l’environnement cloud Office 365 Secteur public, consultez l’article Environnement cloud pour le secteur public Office 365 .

Votre organisation est entièrement responsable de la conformité avec toutes les lois et réglementations applicables. Les informations fournies dans cette section ne constituent pas des conseils juridiques et vous devez consulter des conseillers juridiques pour toute question concernant la conformité réglementaire de votre organisation.

L’applicabilité d’Office 365 et des services dans l’étendue

Utilisez le tableau suivant pour déterminer l’applicabilité de vos services et abonnements Office 365 :

l’applicabilité	Les Services dans l’étendue
Commerciale	Access Online, Azure Active Directory, Azure Communications Service, Gestionnaire de conformité, Customer Lockbox, Delve, Exchange Online, Forms, Griffin, Identity Manager, Lockbox (Torus), Microsoft Defender pour Office 365, Microsoft Teams, MyAnalytics, Conformité avancée Office 365 module complémentaire, Office 365 portail client, Office 365 microservices (notamment Kaizala, ObjectStore, Sway, Power Automate, PowerPoint Online Document Service, Query Annotation Service, School Data Sync, Siphon, Speech, StaffHub, eXtensible Application Program), sécurité & Office 365 Centre de conformité, Office Online, Office Pro Plus, Infrastructure des services Office, OneDrive Entreprise, Planificateur, PowerApps, Power BI, Project Online, Chiffrement de service avec clé client Microsoft Purview, SharePoint Online, Skype Entreprise, Stream
GCC	Azure Active Directory, Azure Communications Service, Gestionnaire de conformité, Delve, Exchange Online, Forms, Microsoft Defender pour Office 365, Microsoft Teams, MyAnalytics, Conformité avancée Office 365 module complémentaire, Office 365 & Security Compliance Center, Office Online, Office Pro Plus, OneDrive Entreprise, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype Entreprise, Stream

Questions fréquemment posées

Mon organisation peut-elle entrer dans un BAA avec Microsoft ?

Oui. Microsoft offre à ses clients entités et associés professionnels couverts un contrat d’association d’entreprise qui couvre les services Microsoft dans l’étendue.

Par défaut, le Contrat d’association d’entreprise Microsoft HIPAA est disponible par le biais du complément Microsoft Online Services Data Protection pour tous les clients qui sont des entités couvertes ou des associés professionnels sous HIPAA. Consultez « Services cloud microsoft dans l’étendue » sur cette page web pour obtenir la liste des services cloud couverts par ce BAA.

Le Contrat d’association métier HIPAA est également disponible pour les services professionnels Microsoft dans l’étendue. Pour plus d’informations, contactez votre représentant des services Microsoft.

Le fait d’avoir un contrat d’association d’entreprise avec Microsoft garantit-il la conformité de mon organisation à HIPAA et à la loi HITECH ?

Non. En proposant un contrat d’association professionnelle, Microsoft prend en charge votre conformité HIPAA. Toutefois, l’utilisation des services Microsoft ne permet pas d’assurer la conformité HIPAA. Votre organisation est chargée de s’assurer que vous disposez d’un programme de conformité et de processus internes adéquats, et que votre utilisation particulière des services Microsoft s’aligne sur vos obligations en vertu de hipaa et de la loi HITECH.

Microsoft peut-il utiliser le Contrat Associé Professionnel de mon organisation ?

Non, Microsoft ne peut pas utiliser le Contrat d’association professionnelle d’un client. Étant donné que nous offrons des services multilocataires hyperscale qui sont standardisés pour tous nos clients, nous devons fonctionner de manière cohérente. Le contrat Microsoft HIPAA Business Associate reflète étroitement notre fonctionnement. Par conséquent, afin de répondre aux besoins du secteur de la santé, Microsoft a collaboré avec un consortium de centres médicaux universitaires et d’autres entités du secteur public et privé dans le secteur de la santé afin de créer un contrat d’association professionnelle qui s’aligne sur nos offres de services à l’échelle et répond aux besoins des clients.

Comment puis-je obtenir des copies des rapports d’audit tiers ?

Le portail d’approbation de services fournit des rapports de conformité audités indépendamment. Vous pouvez utiliser le portail pour demander des rapports d’audit afin que vos auditeurs puissent comparer les résultats des services cloud de Microsoft avec vos propres exigences légales et réglementaires. Les clients Azure peuvent également récupérer des certificats Azure et des rapports d’audit dans le Portail Azure par le biais du panneau Rapports d’audit dans Microsoft Defender pour le cloud.

Comment puis-je en savoir plus sur la façon dont Microsoft prend en charge la conformité avec HIPAA et la loi HITECH ?

Pour aider les clients à effectuer cette tâche, Microsoft a publié les guides suivants :

• Les conseils d’implémentation de la loi HIPAA/HITECH pour Azure pour les responsables de la confidentialité, de la sécurité et de la conformité, ainsi que d’autres responsables de l’implémentation de la loi HIPAA et HITECH, décrivent les étapes concrètes que votre organisation peut prendre pour maintenir la conformité.
• Le guide pratique de conception de solutions d’intégrité sécurisées à l’aide de Microsoft Azure vous aide à mieux comprendre ce qu’il faut pour adopter un service cloud de manière sécurisée.

Utiliser le Gestionnaire de conformité Microsoft Purview pour évaluer vos risques

Le Gestionnaire de conformité Microsoft Purview est une fonctionnalité du portail de conformité Microsoft Purview qui vous aide à comprendre la posture de conformité de votre organisation et à prendre des mesures pour réduire les risques. Le Gestionnaire de Conformité offre un modèle Premium pour la création d’une évaluation de ce règlement. Recherchez le modèle sur la page modèles d’évaluation dans le Gestionnaire de Conformité. Découvrez comment créer des évaluations dans le Gestionnaire de Conformité.

Ressources

• Contrat d’association d’entreprise Microsoft HIPAA
• Offres de conformité Microsoft Cloud pour les soins de santé
• Microsoft Cloud pour le secteur de la santé
• Soins de santé sur le Centre de gestion de la confidentialité Microsoft