# HIPAA — Health Insurance Portability and Accountability Act (US)

> Catégorie : **Certifications normatives** · Slug : `hipaa` · Source canonique : <https://www.hebergeurs-de-donnees-de-sante.fr/criteres/hipaa/>

**Définition courte** : Loi fédérale américaine (Public Law 104-191) qui encadre la confidentialité des données de santé aux États-Unis.

## Statistiques sur les 404 hébergeurs HDS

- ✓ Vérifiés sur source publique : **0**
- ◆ Revendiqués sur source publique : **11**

## Définition

**HIPAA** (*Health Insurance Portability and Accountability Act*) est une **loi fédérale américaine** de 1996 (Public Law 104-191) qui encadre la confidentialité et la sécurité des données de santé aux États-Unis. Elle s'applique aux *Covered Entities* (établissements de santé, assureurs, échanges de données santé) et à leurs *Business Associates* — qui incluent les hébergeurs cloud opérant des services santé.

HIPAA se décompose en quatre règles principales&nbsp;:

- **Privacy Rule** — protection des PHI (*Protected Health Information*).
- **Security Rule** — exigences techniques, administratives et physiques de sécurité.
- **Breach Notification Rule** — obligation de signalement en cas de violation de données.
- **Enforcement Rule** — pouvoirs de l'OCR (*Office for Civil Rights*) et barème des sanctions.

HIPAA **n'est pas une certification** mais une obligation de conformité. Les hébergeurs serving le marché US documentent leur conformité via un audit indépendant et un *Business Associate Agreement* (BAA) signé avec leurs clients US.

## Pourquoi (ou pourquoi pas) c'est important pour un hébergeur HDS

HIPAA est **non concerné par défaut** pour un acteur santé français pur. C'est une loi américaine qui s'applique aux acteurs servant le marché US — point. La conformité HDS française est pleinement souveraine et n'a pas d'équivalent réciproque ; HIPAA et HDS sont **deux référentiels indépendants** qui adressent deux marchés.

Le critère devient pertinent uniquement dans deux cas&nbsp;:

1. **Hébergeur servant des éditeurs SaaS santé US installés en France** dont la clientèle finale est aussi américaine (rare mais existe).
2. **Hébergeur servant la communauté d'expatriés américains résidant en France** (par exemple cliniques privées à Paris servant le corps diplomatique US).

Pour la grande majorité des hébergeurs HDS français servant le marché santé français et européen, HIPAA est **structurellement hors champ**.

## Comment ce critère est attribué dans le comparateur

- **✓ Vérifié** — hébergeur revendiquant publiquement la conformité HIPAA avec audit indépendant tiers ; OU publication d'un BAA-template public.
- **◆ Revendiqué** — mention HIPAA sans détail d'audit.
- **○ Non concerné** — hébergeur santé français servant le marché français/européen — statut par défaut.
- **— Non documenté** — orientation commerciale ambiguë.

**Important méthodologique**&nbsp;: l'absence de conformité HIPAA chez un acteur français servant le marché européen n'est **pas** une faiblesse. C'est cohérent avec son marché. Notre statut "Non concerné" est explicite et ne pénalise pas l'acteur.

## Pour quel profil c'est critique

| Profil | Niveau d'exigence |
|---|---|
| Hébergeur servant clients US | **Critique** |
| Hébergeur servant expatriés US résidant en France (cliniques privées) | **Important** |
| Hébergeur santé français pur (marché EU) | **Non concerné** |

## Sources officielles

- **HHS** (*Department of Health and Human Services*) — [hhs.gov/hipaa](https://www.hhs.gov/hipaa/).
- **OCR** (*Office for Civil Rights*) — [hhs.gov/hipaa/for-professionals](https://www.hhs.gov/hipaa/for-professionals/index.html).
- **Public Law 104-191** — [govinfo.gov](https://www.govinfo.gov/app/details/PLAW-104publ191).

## Hébergeurs satisfaisant ce critère

### ◆ Revendiqué sur source publique (11)

- [ACRONIS INTERNATIONAL GMBH](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/acronis-international-gmbh/)
- [AKENES](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/akenes/)
- [BOSTON SCIENTIFIC CORPORATION](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/boston-scientific-corporation/)
- [BOX, INC.](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/box-inc/)
- [EURIS HEALTH CLOUD (Cloud Santé)](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/euris-health-cloud-cloud-sante/)
- [ICOMETRIX](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/icometrix/)
- [INCEPTO MEDICAL](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/incepto-medical/)
- [QYNAPSE](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/qynapse/)
- [RED HAT, INC](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/red-hat-inc/)
- [SHOEBOX Ltd](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/shoebox-ltd/)
- [VOLUNTIS SA – APTAR DIGITAL HEALTH](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/voluntis-sa-aptar-digital-health/)

## Méthodologie et limites

- ✓ **Vérifié** = source publique citée (registre officiel, verbatim site acteur).
- ◆ **Revendiqué** = mention déclarative non vérifiée indépendamment.
- ◐ **En cours** = démarche datée publiquement.
- — **Non documenté** = information non trouvée. **N'implique pas l'absence du service**.
- Méthodologie complète : <https://www.hebergeurs-de-donnees-de-sante.fr/verification/>
- Équité Guardis vs concurrents : <https://www.hebergeurs-de-donnees-de-sante.fr/equite-methodologique/>

---

_Comparateur édité par Hasgard SARL. Publication éditoriale indépendante. Licence CC BY-SA 4.0._
_Variante Markdown brut : ajoutez `.md` à l'URL de n'importe quelle page._