Health Insurance Portability and Accountability Act (HIPAA) & Health Information Technology for Economic and Clinical Health (HITECH) Act

Vue d’ensemble de hipaa et de la loi HITECH

La Health Insurance Portability and Accountability Act de 1996 (HIPAA) et les réglementations émises en vertu de hipaa sont un ensemble de lois américaines sur les soins de santé qui établissent des exigences en matière d’utilisation, de divulgation et de protection des informations médicales identifiables individuellement. Le champ d’application de hipaa a été étendu avec l’adoption de la loi HITECH (Health Information Technology for Economic and Clinical Health) en 2009.

Hipaa s’applique aux entités couvertes (en particulier les fournisseurs de soins de santé, les plans de santé et les centre d’échange des soins de santé) qui créent, reçoivent, gèrent, transmettent ou accèdent aux informations médicales protégées (PHI) des patients. HIPAA s’applique en outre aux associés commerciaux des entités couvertes qui exercent certaines fonctions ou activités impliquant des informations phi dans le cadre de la fourniture de services à l’entité couverte ou pour le compte de l’entité couverte.

Lorsqu’une entité couverte fait appel aux services d’un fournisseur de services cloud, tel que Microsoft, le fournisseur de services cloud est un associé commercial en vertu de la loi HIPAA. En outre, lorsqu’un associé commercial sous-traite avec un fournisseur de services cloud pour créer, recevoir, gérer ou transmettre des informations phi, le fournisseur de services cloud devient également un associé commercial.

Microsoft, HIPAA et la loi HITECH

Les réglementations HIPAA exigent que les entités couvertes (définies dans les règles) concluent des accords avec des associés commerciaux pour s’assurer que les phi sont correctement protégés. Cet accord est appelé contrat d’association d’entreprise. Entre autres choses, un contrat d’association établit les utilisations et les divulgations autorisées et requises des phi par l’associé commercial, en fonction de la relation entre les parties et les activités ou services exécutés par l’associé commercial. Pour aider nos clients à se conformer à HIPAA lors de l’utilisation des produits et services d’entreprise Microsoft, Microsoft conclut des Contrats d’association commerciale avec ses clients d’entité et d’associés commerciaux couverts.

Il n’existe actuellement aucune norme de certification approuvée par le ministère de la Santé et des Services humains pour démontrer la conformité à hipaa ou à la loi HITECH par un associé commercial. Toutefois, Microsoft permet aux clients de se conformer à hipaa et à la loi HITECH et respecte les exigences de la règle de sécurité hipaa en sa qualité d’associé commercial. En outre, Microsoft conclut des contrats d’association avec ses clients d’entité et d’associés commerciaux couverts pour assurer leur conformité aux obligations HIPAA.

Certifications tierces

Les services Microsoft couverts par le BAA ont fait l’objet d’audits effectués par des auditeurs indépendants accrédités pour la certification Microsoft ISO/IEC 27001 et la certification HITRUST CSF.

Les services cloud d’entreprise Microsoft sont également couverts par les évaluations FedRAMP. Microsoft Azure et Microsoft Azure Government ont reçu une autorité provisoire d’exploitation de la commission d’autorisation conjointe FedRAMP ; Microsoft Dynamics 365 gouvernement des États-Unis a reçu l’Autorité d’exploitation de l’agence du Ministère du logement et du développement urbain des États-Unis, tout comme Microsoft Office 365 gouvernement des États-Unis du département de la Santé et des Services humains des États-Unis.

Pour découvrir comment Microsoft Cloud aide les clients à prendre en charge HIPAA et les exigences HITECH, consultez témoignages de clients Microsoft.

Plateformes et services du cloud computing de Microsoft dans le champ d’application

  • Azure et Azure Government
  • Azure DevOps Services
  • Dynamics 365 et Dynamics 365 U.S. Governement
  • Intune
  • Microsoft Defender for Cloud Apps
  • Experts Microsoft Defender pour la détection (composant services en ligne)
  • Microsoft Defender Experts pour XDR (composant services en ligne)
  • Microsoft Healthcare Bot Service
  • Bureau géré Microsoft
  • Services professionnels Microsoft : Premier et sur site pour Azure, Dynamics 365, Intune et pour les clients des entreprises moyennes et grandes de Microsoft 365 Entreprise
  • Office 365, Office 365 gouvernement des États-Unis
  • Service Cloud Power Automate (anciennement Microsoft Flow), soit en service autonome, soit inclus dans un plan ou une suite Office 365 ou Dynamics 365
  • Service Cloud PowerApps, soit en service autonome, soit inclus dans un plan ou une suite Office 365 ou Dynamics 365
  • Service cloud Power BI en tant que service autonome ou inclus dans un plan ou une suite Office 365 ou Dynamics 365 personnalisé
  • Windows 365

Azure, Dynamics 365 et HIPAA

Pour plus d’informations sur Azure, Dynamics 365 et d’autres services en ligne conformité, consultez l’offre Azure HIPAA.

Office 365 et HIPAA

Office 365 environnements

Microsoft Office 365 est une plateforme cloud hyperscale mutualisée et une expérience intégrée d’applications et de services disponibles pour les clients de plusieurs régions du monde. La plupart des services Office 365 permettent aux clients de spécifier la région où se trouvent leurs données client. Microsoft peut répliquer des données client vers d’autres régions au sein de la même zone géographique (par exemple, les États-Unis) pour la résilience des données, mais Microsoft ne répliquera pas les données client en dehors de la zone géographique choisie.

Cette section couvre les environnements Office 365 suivants :

  • Logiciel client (client): logiciel client commercial en cours d’exécution sur les appareils clients.
  • Office 365 (commercial) : service cloud Office 365 public commercial disponible dans le monde entier.
  • Cloud de la communauté du secteur public Office 365 (GCC) : le Service cloud Office 365 GCC est disponible pour le gouvernement fédéral, d’état, local et tribaux des États-Unis, et pour les sous-traitants qui détiennent ou traitent des données pour le compte du gouvernement des États-Unis.
  • Cloud de la communauté du secteur public Office 365 - Haut (GCC High): le Service cloud Office 365 GCC High est conçu conformément aux instructions des exigences de contrôle de sécurité de niveau 4 du Ministère de la défense (DoD) et prend en charge les informations fédérales et de défense strictement réglementées. Cet environnement est utilisé par les agences fédérales, la Base industrielle de défense (DIB) et les sous-traitants du secteur public.
  • Office 365 DoD (DoD): le Service cloud Office 365 DoD est conçu conformément aux contrôles de niveau 5 des directives de sécurité et prend en charge des réglementations fédérales et de défense strictes. Cet environnement est destiné à une utilisation exclusive par le département de la Défense des États-Unis.

Utilisez cette section pour vous aider à respecter vos obligations de conformité entre les secteurs réglementés et les marchés mondiaux. Pour savoir quels services sont disponibles dans quelles régions, consultez l’articleInformations sur la disponibilité internationale etOù vos données client Microsoft 365 sont stockées. Pour plus d’informations sur l’environnement cloud Office 365 Secteur public, consultez l’article Environnement cloud pour le secteur public Office 365 .

Votre organisation est entièrement responsable de la conformité avec toutes les lois et réglementations applicables. Les informations fournies dans cette section ne constituent pas des conseils juridiques et vous devez consulter des conseillers juridiques pour toute question concernant la conformité réglementaire de votre organisation.

L’applicabilité d’Office 365 et des services dans l’étendue

Utilisez le tableau suivant pour déterminer l’applicabilité de vos services et abonnements Office 365 :

l’applicabilité Les Services dans l’étendue
Commerciale Access Online, Microsoft Entra ID, Azure Communications Service, Compliance Manager, Customer Lockbox, Delve, Exchange Online, Forms, Griffin, Identity Manager, Lockbox (Torus), Microsoft Defender pour Office 365, Microsoft Teams, MyAnalytics, Conformité avancée Office 365 module complémentaire, Office 365 Portail client, Office 365 microservices (y compris, mais sans s’y limiter, Kaizala, ObjectStore, Sway, Power Automate, PowerPoint Online Document Service, Query Annotation Service, School Data Sync, Siphon, Speech, StaffHub, eXtensible Application Programme), Office 365 Security & Compliance Center, Office Online, Office Pro Plus, Office Services Infrastructure, OneDrive Entreprise, Planificateur, PowerApps, Power BI, Project Online, Service Encryption with Microsoft Purview Customer Key, SharePoint Online, Skype Entreprise, Stream
GCC Microsoft Entra ID, Azure Communications Service, Gestionnaire de conformité, Delve, Exchange Online, Forms, Microsoft Defender pour Office 365, Microsoft Teams, MyAnalytics, Conformité avancée Office 365 module complémentaire, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive Entreprise, Planificateur, PowerApps, Power Automate, Power BI, SharePoint Online, Skype Entreprise, Stream

Forum aux questions

Mon organization peut-il conclure un contrat BAA avec Microsoft ?

Oui. Microsoft propose à ses clients d’entité et d’associés commerciaux couverts un Contrat d’association d’entreprise qui couvre les services Microsoft dans l’étendue.

Le Contrat d’association commercial Microsoft HIPAA est disponible par défaut via l’Addendum sur la protection des données microsoft Online Services pour tous les clients qui sont couverts par des entités ou des associés commerciaux dans le cadre de la loi HIPAA. Consultez « Microsoft in-scope cloud services » sur cette page web pour obtenir la liste des services cloud couverts par ce BAA.

Le Contrat d’association commerciale HIPAA est également disponible pour les services professionnels Microsoft dans l’étendue. Pour plus d’informations, contactez votre représentant des services Microsoft.

Le fait d’avoir un contrat d’association avec Microsoft garantit-il la conformité de mon organization à la loi HIPAA et à la loi HITECH ?

Non. En proposant un Contrat d’association commercial, Microsoft vous aide à prendre en charge votre conformité HIPAA. Toutefois, l’utilisation des services Microsoft n’atteint pas en soi la conformité HIPAA. Votre organization est chargé de vous assurer que vous disposez d’un programme de conformité et de processus internes adéquats, et que votre utilisation particulière des services Microsoft s’aligne sur vos obligations en vertu de la loi HIPAA et HITECH.

Microsoft peut-il utiliser le Contrat d’association commerciale de mon organization ?

Non, Microsoft ne peut pas utiliser le Contrat d’association commerciale d’un client. Étant donné que nous offrons des services multilocataires hyperscale qui sont standardisés pour tous nos clients, nous devons fonctionner de manière cohérente. Le Contrat d’association commercial Microsoft HIPAA reflète étroitement la façon dont nous opérons. En conséquence, afin de répondre aux besoins du secteur de la santé, Microsoft a collaboré avec un consortium de centres médicaux universitaires et d’autres entités des secteurs public et privé dans le secteur de la santé pour créer un contrat d’association d’entreprise qui s’aligne sur nos offres de service à l’échelle et répond aux besoins des clients.

Comment puis-je obtenir des copies des rapports d’audit tiers ?

Le portail d’approbation de services fournit des rapports de conformité audités indépendamment. Vous pouvez utiliser le portail pour demander des rapports d’audit afin que vos auditeurs puissent comparer les résultats des services cloud de Microsoft avec vos propres exigences légales et réglementaires. Les clients Azure peuvent également récupérer des certificats Azure et des rapports d’audit dans le Portail Azure via le panneau rapports d’audit dans Microsoft Defender pour le cloud.

Comment puis-je en savoir plus sur la façon dont Microsoft prend en charge la conformité avec HIPAA et la loi HITECH ?

Pour aider les clients à effectuer cette tâche, Microsoft a publié ces conseils :

  • Les conseils de mise en œuvre de la loi HIPAA/HITECH pour Azure pour les responsables de la confidentialité, de la sécurité et de la conformité et d’autres responsables de l’implémentation de la loi HIPAA et HITECH, décrivent les étapes concrètes que votre organization peut prendre pour maintenir la conformité.

Utiliser le Gestionnaire de conformité Microsoft Purview pour évaluer vos risques

Le Gestionnaire de conformité Microsoft Purview est une fonctionnalité de la portail de conformité Microsoft Purview qui vous aide à comprendre la posture de conformité de votre organization et à prendre des mesures pour réduire les risques. Le Gestionnaire de Conformité offre un modèle Premium pour la création d’une évaluation de ce règlement. Recherchez le modèle sur la page modèles d’évaluation dans le Gestionnaire de Conformité. Découvrez comment créer des évaluations dans le Gestionnaire de Conformité.

Ressources