HIPAA — Health Insurance Portability and Accountability Act (US)
Loi fédérale américaine (Public Law 104-191) qui encadre la confidentialité des données de santé aux États-Unis.
Définition
HIPAA (Health Insurance Portability and Accountability Act) est une loi fédérale américaine de 1996 (Public Law 104-191) qui encadre la confidentialité et la sécurité des données de santé aux États-Unis. Elle s'applique aux Covered Entities (établissements de santé, assureurs, échanges de données santé) et à leurs Business Associates — qui incluent les hébergeurs cloud opérant des services santé.
HIPAA se décompose en quatre règles principales :
- Privacy Rule — protection des PHI (Protected Health Information).
- Security Rule — exigences techniques, administratives et physiques de sécurité.
- Breach Notification Rule — obligation de signalement en cas de violation de données.
- Enforcement Rule — pouvoirs de l'OCR (Office for Civil Rights) et barème des sanctions.
HIPAA n'est pas une certification mais une obligation de conformité. Les hébergeurs serving le marché US documentent leur conformité via un audit indépendant et un Business Associate Agreement (BAA) signé avec leurs clients US.
Pourquoi (ou pourquoi pas) c'est important pour un hébergeur HDS
HIPAA est non concerné par défaut pour un acteur santé français pur. C'est une loi américaine qui s'applique aux acteurs servant le marché US — point. La conformité HDS française est pleinement souveraine et n'a pas d'équivalent réciproque ; HIPAA et HDS sont deux référentiels indépendants qui adressent deux marchés.
Le critère devient pertinent uniquement dans deux cas :
- Hébergeur servant des éditeurs SaaS santé US installés en France dont la clientèle finale est aussi américaine (rare mais existe).
- Hébergeur servant la communauté d'expatriés américains résidant en France (par exemple cliniques privées à Paris servant le corps diplomatique US).
Pour la grande majorité des hébergeurs HDS français servant le marché santé français et européen, HIPAA est structurellement hors champ.
Comment ce critère est attribué dans le comparateur
- ✓ Vérifié — hébergeur revendiquant publiquement la conformité HIPAA avec audit indépendant tiers ; OU publication d'un BAA-template public.
- ◆ Revendiqué — mention HIPAA sans détail d'audit.
- ○ Non concerné — hébergeur santé français servant le marché français/européen — statut par défaut.
- — Non documenté — orientation commerciale ambiguë.
Important méthodologique : l'absence de conformité HIPAA chez un acteur français servant le marché européen n'est pas une faiblesse. C'est cohérent avec son marché. Notre statut "Non concerné" est explicite et ne pénalise pas l'acteur.
Pour quel profil c'est critique
| Profil | Niveau d'exigence |
|---|---|
| Hébergeur servant clients US | Critique |
| Hébergeur servant expatriés US résidant en France (cliniques privées) | Important |
| Hébergeur santé français pur (marché EU) | Non concerné |
Sources officielles
- HHS (Department of Health and Human Services) — hhs.gov/hipaa.
- OCR (Office for Civil Rights) — hhs.gov/hipaa/for-professionals.
- Public Law 104-191 — govinfo.gov.
Hébergeurs satisfaisant ce critère
◐ Revendiqué sur source publique (11)
Lecture des trois états. ✓ Vérifié = source publique citée (page officielle, registre ANS / ANSSI / Pappers / RIPE / PeeringDB). ◐ Revendiqué = mention publique partielle, sans verbatim ferme à la date de cet audit. ◔ Démarche en cours = engagement public daté. L'absence de mention n'implique pas l'absence du service — voir notre méthodologie d'équité.