L'HIPAA est un sujet brûlant en ce moment. L'année dernière, une enquête de la salle de presse à but non lucratif The Markup a révélé que de nombreux hôpitaux divulguaient illégalement des informations de santé protégées à Meta par le biais de pixels Meta sur leurs sites web. Après la publication de l'enquête, Meta a été interrogé par le Sénat américain sur sa collecte d'informations protégées, et de nombreux procès ont été intentés contre des prestataires de soins de santé pour violation de la loi HIPAA (y compris un recours collectif impliquant Meta lui-même).
Ces poursuites pourraient coûter beaucoup d'argent aux entités couvertes par l'HIPAA. C'est donc le bon moment pour se pencher sur l'HIPAA et sur ce qu'elle implique pour l'analyse des sites web.
- Qu'est-ce que l'HIPAA ?
- Qui est couvert par l'HIPAA ?
- Qu'est-ce que la règle de confidentialité ?
- Qu'est-ce qu'un RPS ?
- Ce que cela signifie pour l'analyse web
- Google Analytics est-il conforme à la loi HIPAA ?
- Comment mettre en œuvre des outils d'analyse basés sur les cookies dans le respect de la loi HIPAA ?
- Il ne s'agit pas seulement des cookies !
- L'analyse sans cookie est-elle la solution ?
Qu'est-ce que l'HIPAA ?
Le Health Insurance Portability and Accountability Act (HIPAA) est une loi fédérale américaine adoptée en 1996. Elle vise à protéger la confidentialité et la sécurité des informations de santé protégées (PHI) et à garantir leur transférabilité d'un prestataire de soins de santé à un autre.
L'HIPAA vise à protéger la confidentialité et la sécurité des informations de santé protégées (PHI). Elle traite également des normes techniques pour les dossiers médicaux électroniques et garantit les droits de portabilité des données. En bref, elle traite de la protection de la vie privée, mais il ne s'agit pas d'une réglementation en la matière au sens strict.
Qui est couvert par l'HIPAA ?
Veuillez noter que l 'HIPAA couvre les données des patients et non les données de santé en tant que telles. En effet, l'HIPAA ne s'applique qu'à des entités spécifiques.
L'HIPAA couvre principalement les prestataires de soins de santé, les régimes d'assurance maladie et les centres d'échange d'informations sur la santé (c'est-à-dire les intermédiaires pour l'échange d'informations sur la santé). Ces entités sont appelées " entités couvertes ".
L'HIPAA couvre également les associés commerciaux. Ces derniers sont des entités qui reçoivent régulièrement des PHI d'une entité couverte et qui fournissent certains services ou effectuent des activités pour l'entité couverte, y compris l'analyse de données. Les associés commerciaux sont également soumis à certaines règles de protection des données en vertu de la loi HIPAA et doivent signer un accord d'association commerciale (BAA) avec les entités couvertes avec lesquelles ils travaillent.
Enfin, l'HIPAA couvre également les sous-traitants. Les sous-traitants travaillent avec des associés commerciaux et font essentiellement une partie de leur travail. Vous pouvez considérer les sous-traitants comme les associés des associés.
Notez que nous simplifions un peu - il y a plus à faire pour déterminer si quelqu'un est une entité couverte, un associé commercial ou un sous-traitant. Mais il est important de noter que le fait de travailler pour une entité couverte ne fait pas de vous, en soi, un associé commercial. Vous ne pouvez pas être un associé commercial si vous ne recevez pas de PHI, quelle que soit l'entité pour laquelle vous travaillez.
Si votre organisation n'est pas une entité couverte, un associé commercial ou un sous-traitant, vous n'avez pas à vous préoccuper de l'HIPAA ! Mais cela ne signifie pas que vous pouvez faire ce que vous voulez avec ces informations. D'autres règles peuvent s'appliquer : par exemple, la loi californienne CCPA comprend des règles spécifiques pour le traitement des informations sur la santé et d'autres catégories d'informations sensibles.
Qu'est-ce que la règle de confidentialité ?
L'HIPAA impose certaines normes pour garantir que les PHI sont traitées de manière sûre et confidentielle. Ces normes sont communément appelées " HIPAA Privacy Rule".
L'un des points centraux de la règle de confidentialité est la limitation de la divulgation. Certaines divulgations de PHI sont autorisées parce qu'elles sont essentielles à la fourniture de soins de santé et au fonctionnement du système de santé. Par exemple, un hôpital peut envoyer vos factures médicales à votre régime d'assurance ou transmettre votre dossier médical électronique à votre nouvel hôpital.
D'autres divulgations nécessitent une autorisation écrite de la personne concernée par les informations. Il s'agit d'une exigence importante, car les prestataires de soins de santé ne sont (généralement) pas autorisés à refuser leurs services si vous n'autorisez pas la divulgation. En d'autres termes, on ne peut pas faire chanter les patients pour qu'ils autorisent une divulgation inutile.
Qu'est-ce qu'un RPS ?
Les PHI sont les informations couvertes et protégées par la HIPAA et les règles de confidentialité. La notion de PHI au sens de la HIPAA est complexe car elle combine trois exigences distinctes :
- elles concernent l'état de santé d'une personne ou la fourniture de soins de santé (= il s'agit d'informations sur la santé)
- elles concernent un individu identifiable (= il s'agit d'informations personnelles identifiables - PII en abrégé)
- elles sont créées par un prestataire de soins de santé ou une autre entité couverte par l'HIPAA.
Ces trois conditions sont cumulatives. Par exemple, si un site web fournit des informations médicales mais pas de services de santé, la HIPAA ne s'applique pas à lui, même s'il peut recueillir des informations de santé personnellement identifiables par le biais de ses analyses web.
Le fait que les PHI soient personnellement identifiables est l'exigence la plus délicate. L'HIPAA ne contient aucune définition des informations personnellement identifiables (IPI). Toutefois, la règle sur la protection de la vie privée donne quelques indications en énumérant les identifiants qui font des informations des IPI (qui peuvent être supprimées pour les dépersonnaliser). La liste est longue et comprend les adresses IP et tout autre numéro d'identification unique.
Ce que cela signifie pour l'analyse web
Le règlement sur la protection de la vie privée est très important pour les analyses basées sur les cookies.
Google Analytics et d'autres services d'analyse basés sur les cookies incluent des identifiants uniques dans leurs cookies. C'est ainsi que ces services recueillent des données importantes telles que le nombre de visiteurs uniques. Or, les identifiants uniques sont considérés comme des IIP en vertu du règlement sur la protection de la vie privée. Cela signifie que les données des cookies sont des RPS lorsque les deux autres exigences de la HIPAA sont satisfaites (= elles sont créées par une identité couverte par la HIPAA, et il s'agit d'informations relatives à la santé).
Le partage des PHI à des fins de marketing et d'analyse webn'est pas une divulgation autorisée par la règle de confidentialité et nécessite donc une autorisation écrite.
Le ministère américain de la santé et des services sociaux a également précisé que le fait de consentir à des bannières de cookies et à des fenêtres pop-up similaires n'est pas considéré comme une autorisation valide de divulguer des PHI. Comme il n'existe pas d'autre moyen réaliste de recueillir l'autorisation écrite de chaque visiteur, la seule façon pour les sites web de respecter le règlement sur la protection de la vie privée est de ne pas transmettre de PHI lorsqu'ils utilisent un service d'analyse du web.
Cela va à l'encontre de la conception de Google Analytics, car les informations personnelles identifiables doivent être traitées par (et divulguées à) Google pour que le service fonctionne.
Cela ne veut pas dire que les entités couvertes par la HIPAA ne peuvent pas utiliser Google Analytics ou toute autre solution d'analyse basée sur les cookies. Mais cela représente beaucoup de travail. Si vous mettez en œuvre une solution d'analyse basée sur les cookies comme vous le feriez sur n'importe quel autre site web, vous êtes pratiquement assuré d'enfreindre la loi HIPAA.
Google Analytics est-il conforme à la loi HIPAA ?
Google Analytics n'est pas compatible avec la loi HIPAA. C'est pourquoi Google n'est pas disponible pour signer un accord d'association commerciale avec les entités couvertes par l'HIPAA.
La documentation de l'entreprise est assez transparente à ce sujet. Google ne prétend pas que son service est conforme à la loi HIPAA, avertit ses clients de ne pas lui transmettre d'informations personnelles et les encourage à s'adresser à des juristes pour s'assurer que Google Analytics est mis en œuvre dans le respect de la loi HIPAA.
Comment mettre en œuvre des outils d'analyse basés sur les cookies dans le respect de la loi HIPAA ?
Ces lignes directrices du ministère américain de la santé et des services sociaux constituent un bon point de départ. Le ministère recommande d'être très prudent avec les pages authentifiées, c'est-à-dire les pages auxquelles les visiteurs ne peuvent accéder qu'après s'être authentifiés ou s'être connectés. Pour plus de sécurité, il est conseillé de désactiver complètement le suivi sur ces pages (comme le suggère également la documentation de Google Analytics). Vous devez également désactiver le suivi sur toutes les pages où un visiteur peut prendre rendez-vous, que la page soit authentifiée ou non.
Les pages non authentifiées sont-elles pour autant acceptables ? Pas vraiment. Les pages non authentifiées où les patients peuvent prendre rendez-vous sont également interdites. Les pages qui fournissent des informations sur des problèmes de santé ou des traitements spécifiques peuvent également permettre à Google (ou à tout autre fournisseur de services d'analyse basés sur les cookies) de collecter des informations sur la santé. La possibilité de suivre les visiteurs d'une page non authentifiée dépend donc en fin de compte de son contenu.
En résumé, si l'HIPAA s'applique à vous, vous devez désactiver le suivi sur toutes les pages authentifiées. En ce qui concerne les pages non authentifiées, vous devez évaluer soigneusement chaque page en fonction de son contenu. Vous devrez certainement faire appel à un professionnel du droit, ce qui sera coûteux si vous ne disposez pas d'un avocat ou d'une équipe juridique en interne.
Dans certains cas, une évaluation rigoureuse peut aboutir à la conclusion que vous devez désactiver le suivi pour une grande partie de votre site web. Cela peut avoir un impact négatif sur la qualité des informations que vous tirez de vos analyses web.
Par exemple, les sites web des hôpitaux comportent souvent des pages d'information sur des problèmes de santé et des formes de traitement spécifiques. Ces pages sont souvent destinées à attirer de nouveaux visiteurs, de sorte que la désactivation du suivi de ces pages aura un impact négatif sur la qualité de votre analyse web.
C'est donc possible, mais il ne suffit pas de modifier quelques paramètres et d'injecter une ligne de code ici et là. Une mise en œuvre correcte et conforme à l'HIPAA de l'analyse basée sur les cookies est lourde, peut être coûteuse et aura probablement un impact sur la qualité des informations que vous obtiendrez.
Il ne s'agit pas seulement des cookies !
Les mêmes règles s'appliquent aux applications mobiles : en vertu de la règle de confidentialité, vous n'êtes pas autorisé à divulguer des informations personnelles à des fins de marketing ou d'analyse.
En pratique, la situation des applications mobiles est encore pire. De nombreux kits de développement logiciel (SDK) sont livrés avec des traceurs intégrés. Les kits de développement logiciel posent un énorme problème de protection de la vie privée en général : le développement des applications est souvent externalisé et, par conséquent, de nombreuses entreprises tracent leurs utilisateurs à leur insu. Si vous êtes couvert par l'HIPAA, ce suivi peut constituer une violation de la règle sur la protection de la vie privée.
Les PHI peuvent également être collectés par d'autres moyens. Par exemple, les API de services populaires tels que Google Maps collectent et divulguent parfois des informations personnelles. Si vous intégrez une API sur votre site web, assurez-vous de savoir exactement quelle version de l'API vous utilisez et quelles données vous divulguez !
Un autre moyen courant d'enfreindre les règles de protection de la vie privée consiste à éliminer les appareils de manière inappropriée. Si vous êtes couvert par l'HIPAA, vous devez vous assurer de supprimer toutes les informations personnelles de la mémoire d'un appareil avant de vous en débarrasser (en fait, faites-le pour toutes les informations personnelles, indépendamment de l'HIPAA).
En résumé : il est bon de se concentrer sur l'analyse de votre site web, mais il ne faut pas perdre de vue l'ensemble du tableau.
L'analyse sans cookie est-elle la solution ?
Cela dépend. L'absence de cookies n'est pas nécessairement synonyme de respect de la vie privée, car il existe des moyens de suivre les visiteurs sans cookies. Si vous prenez les empreintes digitales des visiteurs ou que vous les suivez par le biais de leur adresse IP, vous divulguerez quand même des informations personnelles à votre fournisseur de services d'analyse web, ce qui constitue le principal problème juridique en jeu.
La meilleure solution consiste à recourir à des services d'analyse respectueux de la vie privée qui ne suivent tout simplement pas l'utilisateur et fournissent des informations sans relever les empreintes digitales des visiteurs ni recourir à des astuces de réidentification.
Nous avons conçu un tel outil. Simple Analytics a été conçu dès le départ dans le respect de la vie privée. Il ne suit pas les utilisateurs et n'a pas besoin d'informations personnelles identifiables pour fonctionner, tout en fournissant au client des informations de qualité pour développer son activité et améliorer sa présence en ligne. Consultez notre page "Ce que nous collectons" et notre documentation juridique pour vous en convaincre.
Simple Analytics est un outil fantastique pour se conformer à l'HIPAA car il ne collecte jamais, au grand jamais, de PII ou de PHI.
La seule information personnelle utilisée par Simple Analytics est l'adresse IP du visiteur, qui est strictement nécessaire pour la communication (et qui n'est jamais stockée ou utilisée pour le suivi). Même cette divulgation minimale peut être empêchée par le client en utilisant un proxy. Il suffit pour cela d'ajouter quelques lignes de code à votre site web.
Le proxy vous permet de mettre en œuvre Simple Analytics sur l'ensemble de votre site web sans risque d'enfreindre la règle de confidentialité, car nous ne recevons aucune information personnelle de votre part. Il s'agit d'un moyen beaucoup plus facile et plus sûr de se mettre en conformité que d'évaluer et de désactiver le suivi pour des pages individuelles. Et bien sûr, puisque vous ne divulguez pas d'informations personnelles, vous n'avez pas besoin d'un accord d'association commerciale !
Pour être clair, nous ne suggérons pas de solution de contournement juridique. Vous ne pouvez pas enfreindre le règlement sur la protection de la vie privée si vous ne divulguez pas d'informations personnelles - c'est aussi simple que cela. Une approche de l'analyse web fondée sur le respect de la vie privée est à la fois conforme et éthique.
Si cela vous convient, n'hésitez pas à nous faire confiance!