Expliquez les bases de HIPAA : les PHI, les garanties de la Security Rule et qui doit s'y conformer.
Réponse courte
HIPAA (la loi américaine Health Insurance Portability and Accountability Act) protège les Protected Health Information (PHI). La Privacy Rule encadre l'utilisation et la divulgation des PHI ; la Security Rule s'applique aux PHI électroniques (ePHI) et exige trois catégories de garanties — administratives, physiques et techniques. Elle s'applique aux covered entities (prestataires, régimes de santé, chambres de compensation) et aux business associates qui traitent des PHI pour leur compte, liés par des Business Associate Agreements. La Breach Notification Rule fixe les obligations de notifier les personnes, le HHS et parfois les médias.
HIPAA est la réglementation américaine de référence pour les données de santé. Les équipes de sécurité de toute organisation manipulant des données de santé — y compris les éditeurs SaaS et les sous-traitants cloud — y sont confrontées. Les recruteurs posent cette question pour voir si vous savez relier les règles à des contrôles concrets.
Ce que HIPAA protège
Les Protected Health Information (PHI) sont des informations de santé identifiant individuellement une personne, détenues ou transmises par une covered entity ou un business associate. Sous forme électronique, ce sont des ePHI, et la Security Rule s'applique.
Qui doit s'y conformer
- Covered entities — prestataires de soins, régimes de santé et chambres de compensation de santé.
- Business associates — fournisseurs et partenaires qui créent, reçoivent, conservent ou transmettent des PHI pour le compte d'une covered entity. Ils sont liés par un Business Associate Agreement (BAA).
Les garanties de la Security Rule
La Security Rule exige trois catégories de garanties pour les ePHI :
- Administratives — analyse des risques, formation du personnel, gestion des accès, plan de continuité.
- Physiques — contrôles d'accès aux locaux, contrôles des appareils et supports, sécurité des postes de travail.
- Techniques — contrôle d'accès, contrôles d'audit, contrôles d'intégrité, sécurité des transmissions (chiffrement).
De nombreuses spécifications sont « addressable » — c'est-à-dire que vous évaluez si la garantie est raisonnable et documentez votre décision — et non facultatives.
Notification de violation
La Breach Notification Rule impose de notifier les personnes concernées et le Department of Health and Human Services ; les violations touchant 500 résidents ou plus d'un État imposent aussi de notifier des médias importants.
Pourquoi c'est important
Les bons candidats notent que les business associates sont directement responsables, que l'analyse des risques est la garantie administrative fondamentale, et que « addressable » ne veut pas dire « ignorer ». Cela montre une réelle connaissance opérationnelle plutôt qu'une liste d'acronymes mémorisée.
Questions de suivi probables
- Qu'est-ce qu'un Business Associate Agreement et quand est-il requis ?
- Donnez un exemple de garantie administrative vs technique au titre de la Security Rule.
- Qu'est-ce qui déclenche l'obligation de notification aux médias dans la Breach Notification Rule ?