Loi HIPAA (Health Insurance Portability and Accountability Act) & Health Information Technology for Economic and Hip Health (HITECH) Act

Vue d’ensemble de HIPAA et de la loi HITECH

La loi HIPAA (Health Insurance Portability and Accountability Act) de 1996 et les réglementations émises en vertu de la loi HIPAA sont un ensemble de lois américaines sur la santé qui établissent des exigences en matière d’utilisation, de divulgation et de protection des informations de santé identifiables individuellement. L’étendue de la loi HIPAA a été étendue avec l’adoption de la loi HITECH (Health Information Technology for Economic and Health) en 2009.

La loi HIPAA s’applique aux entités couvertes (en particulier, les fournisseurs de soins de santé, les plans de santé et les centre d’effacement des soins de santé) qui créent, reçoivent, maintiennent, transmettent ou accèdent aux informations de santé protégées des patients. La loi HIPAA s’applique également aux associés commerciaux d’entités couvertes qui effectuent certaines fonctions ou activités impliquant PHI dans le cadre de la fourniture de services à l’entité couverte ou au nom de l’entité couverte.

Lorsqu’une entité couverte engage les services d’un fournisseur de services cloud, tel que Microsoft, le fournisseur de services cloud est un associé commercial dans le cadre de la loi HIPAA. En outre, lorsqu’une entreprise associe des sous-traitants à un fournisseur de services cloud pour créer, recevoir, gérer ou transmettre des PHI, le fournisseur de services cloud devient également un associé commercial.

Microsoft, HIPAA et la loi HITECH

Les réglementations HIPAA exigent que les entités couvertes (définies dans le cadre des règles) entrent des accords avec des associés commerciaux pour garantir une protection adéquate de l’PHI. Ce contrat est appelé contrat de partenariat commercial. Entre autres choses, un contrat de partenariat commercial établit les utilisations et les divulgations autorisées et requises de l’PHI par l’associé commercial, en fonction de la relation entre les parties et les activités ou services effectués par l’associé commercial. Pour aider nos clients à se conformer à la loi HIPAA lors de l’utilisation des produits et services d’entreprise Microsoft, Microsoft conclut des contrats de partenariat commercial avec son entité couverte et ses clients associés.

Il n’existe actuellement aucune norme de certification approuvée par le département de la santé et des services humains pour démontrer la conformité avec la loi HIPAA ou la loi HITECH par un associé commercial. Toutefois, Microsoft permet aux clients de se conformer à la loi HIPAA et à la loi HITECH, et respecte les exigences de règle de sécurité de la loi HIPAA en sa capacité d’associé commercial. En outre, Microsoft conclut des contrats de partenariat commercial avec ses clients associés et entité couverte pour prendre en charge leur conformité avec les obligations de la loi HIPAA.

Certifications tierces

services Microsoft couvertes par le BAA ont fait l’objet d’audits effectués par des auditeurs indépendants agréés pour la certification Microsoft ISO/IEC 27001 et la certification CSF HITRUST.

Les services cloud d’entreprise Microsoft sont également couverts par les évaluations FedRAMP. Microsoft Azure et Microsoft Azure gouvernement ont reçu une autorité provisoire pour fonctionner à partir du Comité d’autorisation commun FedRAMP ; Microsoft Dynamics 365 U.S. Government received an Agency Authority to Operate from the U.S Department of Caser development, as did Microsoft Office 365 U.S. Government from the U.S. Department of Health and Human Services.

Pour découvrir comment Microsoft Cloud aide les clients à prendre en charge la loi HIPAA et les exigences HITECH, consultez La base de données Customer Stories de Microsoft.

Plateformes cloud et services Microsoft dans l’étendue

  • Azure et Azure Government
  • Azure DevOps Services
  • Dynamics 365 et Dynamics 365 U.S. Governement
  • Intune
  • Microsoft Cloud App Security
  • Microsoft Healthcare Bot Service
  • Bureau géré Microsoft
  • Services professionnels Microsoft : Premier et sur site pour Azure, Dynamics 365, Intune et pour les clients des entreprises moyennes et grandes de Microsoft 365 Entreprise
  • Office 365, Office 365 gouvernement américain
  • Service Cloud Power Automate (anciennement Microsoft Flow), soit en service autonome, soit inclus dans un plan ou une suite Office 365 ou Dynamics 365
  • Service Cloud PowerApps, soit en service autonome, soit inclus dans un plan ou une suite Office 365 ou Dynamics 365
  • Power BI service cloud autonome ou inclus dans un plan ou une suite Office 365 dynamics 365

Azure, Dynamics 365 et HIPAA

Pour plus d’informations sur Azure, Dynamics 365 et d’autres services en ligne de conformité, voir l’offre HipAA Azure.

Office 365 et HIPAA

Environnements cloud Office 365

Microsoft Office 365 est une plateforme cloud hyperscale mutualisée et une expérience intégrée d’applications et de services disponibles pour les clients de plusieurs régions du monde. La plupart des services Office 365 permettent aux clients de spécifier la région où se trouvent leurs données client. Microsoft peut répliquer des données client vers d’autres régions au sein de la même zone géographique (par exemple, les États-Unis) pour la résilience des données, mais Microsoft ne répliquera pas les données client en dehors de la zone géographique choisie.

Cette section traite des environnements cloud Office 365 suivants :

  • Logiciel client (client): logiciel client commercial en cours d’exécution sur les appareils clients.
  • Office 365 (commercial)  : service cloud Office 365 public commercial disponible dans le monde entier.
  • Cloud de la communauté du secteur public Office 365 (GCC) : le Service cloud Office 365 GCC est disponible pour le gouvernement fédéral, d’état, local et tribaux des États-Unis, et pour les sous-traitants qui détiennent ou traitent des données pour le compte du gouvernement des États-Unis.
  • Cloud de la communauté du secteur public Office 365 - Haut (GCC High): le Service cloud Office 365 GCC High est conçu conformément aux instructions des exigences de contrôle de sécurité de niveau 4 du Ministère de la défense (DoD) et prend en charge les informations fédérales et de défense strictement réglementées. Cet environnement est utilisé par les agences fédérales, la Base industrielle de défense (DIB) et les sous-traitants du secteur public.
  • Office 365 DoD (DoD): le Service cloud Office 365 DoD est conçu conformément aux contrôles de niveau 5 des directives de sécurité et prend en charge des réglementations fédérales et de défense strictes. Cet environnement est destiné à une utilisation exclusive par le département de la Défense des États-Unis.

Utilisez cette section pour vous aider à respecter vos obligations de conformité entre les secteurs réglementés et les marchés mondiaux. Pour savoir quels services sont disponibles dans quelles régions, consultez l’articleInformations sur la disponibilité internationale etOù vos données client Microsoft 365 sont stockées. Pour plus d’informations sur l’environnement cloud Office 365 Secteur public, consultez l’article Environnement cloud pour le secteur public Office 365 .

Votre organisation est entièrement responsable de la conformité avec toutes les lois et réglementations applicables. Les informations fournies dans cette section ne constituent pas des conseils juridiques et vous devez consulter des conseillers juridiques pour toute question concernant la conformité réglementaire de votre organisation.

L’applicabilité d’Office 365 et des services dans l’étendue

Utilisez le tableau suivant pour déterminer l’applicabilité de vos services et abonnements Office 365 :

l’applicabilité Les Services dans l’étendue
Commerciale Access Online, Azure Active Directory, Azure Communications Service, Gestionnaire de conformité, Customer Lockbox, Delve, Exchange Online, Forms, Griffin, Identity Manager, Lockbox (Torus), Microsoft Defender pour Office 365, Microsoft Teams, MyAnalytics, module Conformité avancée Office 365, portail client Office 365, Office 365 Microservices (y compris, mais sans s’y limiter, Kaizala, ObjectStore, Sway, Power Automate, PowerPoint Online Document Service, Query Annotation Service, Synchronisation des données scolaires, Siphon, Speech, StaffHub, programme d’application eXtensible), centre de conformité Office 365 Security &, Office Online, Office Pro Plus, infrastructure de services Office, OneDrive Entreprise, Planificateur, PowerApps, Power BI, Project Online, Chiffrement de service avec clé client, SharePoint Online, Skype Entreprise, Stream
GCC Azure Active Directory, Azure Communications Service, Gestionnaire de conformité, Delve, Exchange Online, Forms, Microsoft Defender pour Office 365, Microsoft Teams, MyAnalytics, module complémentaire Conformité avancée Office 365, Centre de sécurité et conformité Office 365, Office Online, Office Pro Plus, OneDrive Entreprise, Planificateur, PowerApps, Power Automate, Power BI, SharePoint Online, Skype Entreprise, Stream

Questions fréquemment posées

Mon organisation peut-elle entrer un BAA avec Microsoft ?

Oui. Microsoft offre à ses clients associés commerciaux et entités couvertes un contrat de partenariat commercial qui couvre les services Microsoft.

Le contrat de partenariat commercial Microsoft HIPAA est disponible par le biais de l’addendum de protection des données Microsoft Online Services par défaut pour tous les clients qui sont des entités couvertes ou des associés commerciaux dans le cadre de la loi HIPAA. Voir « Services cloud microsoft dans l’étendue » sur cette page web pour obtenir la liste des services cloud couverts par ce BAA.

Le contrat de partenariat commercial HIPAA est également disponible pour les services microsoft Professional dans le cadre. Contactez votre représentant services Microsoft pour plus d’informations.

La mise en place d’un contrat de partenariat commercial avec Microsoft garantit-elle la conformité de mon organisation avec la loi HIPAA et la loi HITECH ?

Non. En proposant un contrat de partenariat commercial, Microsoft vous aide à respecter la loi HIPAA. Toutefois, l’services Microsoft n’est pas proprement conforme à la loi HIPAA. Votre organisation est chargée de s’assurer que vous avez mis en place un programme de conformité et des processus internes appropriés, et que votre utilisation particulière de services Microsoft est conforme à vos obligations en vertu de la loi HIPAA et de la loi HITECH.

Microsoft peut-il utiliser le contrat de partenariat commercial de mon organisation ?

Non, Microsoft ne peut pas utiliser le contrat de partenariat commercial d’un client. Étant donné que nous proposons des services multi-clients à grande échelle standardisés pour tous nos clients, nous devons fonctionner de manière cohérente. L’accord de partenariat commercial HIPAA de Microsoft reflète étroitement notre fonctionnement. Par conséquent, afin de répondre aux besoins du secteur de la santé, Microsoft a travaillé avec un consortium de centres médicaux scolaires et d’autres entités publiques et privées au sein de la santé afin de créer un contrat de partenariat commercial qui s’aligne sur nos offres de services à grande échelle et répond aux besoins des clients.

Comment puis-je obtenir des copies de rapports d’audit tiers ?

Le portail d’approbation de services fournit des rapports de conformité audités indépendamment. Vous pouvez utiliser le portail pour demander des rapports d’audit afin que vos auditeurs peuvent comparer les résultats des services cloud de Microsoft à vos propres exigences légales et réglementaires. Les clients Azure peuvent également récupérer des certificats Azure et des rapports d’audit dans le portail Azure via le portail rapports d’audit dans le Centre de sécurité Azure.

Comment puis-je en savoir plus sur la façon dont Microsoft prend en charge la conformité avec hipaa et la loi HITECH ?

Pour aider les clients à accomplir cette tâche, Microsoft a publié les guides ci-après :

  • Les conseils d’implémentation HIPAA/HITECH Act pour Azure pour les responsables de la confidentialité, de la sécurité et de la conformité, ainsi que d’autres personnes responsables de l’implémentation de la loi HIPAA et HITECH, décrivent les étapes concrètes que votre organisation peut prendre pour maintenir la conformité.
  • Un guide pratique pour concevoir des solutions d’état d’Microsoft Azure vous aide à mieux comprendre ce qu’il faut pour adopter un service cloud de manière sécurisée.

Utilisez le Gestionnaire de Conformité Microsoft pour évaluer vos risques

Le Gestionnaire de Conformité Microsoft est une fonctionnalité dans le centre de conformité Microsoft 365 pour vous aider à comprendre la position de la conformité de votre organisation et à prendre des mesures pour réduire les risques. Le Gestionnaire de Conformité offre un modèle Premium pour la création d’une évaluation de ce règlement. Recherchez le modèle sur la page modèles d’évaluation dans le Gestionnaire de Conformité. Découvrez comment créer des évaluations dans le Gestionnaire de Conformité.

Ressources