13 choses que tout prestataire de services gérés (MSP) devrait savoir sur la loi HIPAA

1er juin 2017
Doug Barney
HIPAA, Fournisseur de services gérés (MSP)

Connaître la loi HIPAA n'est pas seulement important pour les professionnels de santé : c'est une exigence absolue.

Vous devez pouvoir prouver votre conformité à la loi HIPAA. Un MSP ne peut effectuer aucune tâche liée à la loi HIPAA sans être conforme à celle-ci. La bonne nouvelle, c'est qu'une fois certifié, vous pouvez postuler à des contrats HIPAA et, grâce à vos qualifications et à votre expertise, vous pouvez facturer vos services à un tarif plus élevé.

1. Les sanctions sont sévères.

Les grands établissements de santé connaissent tous la loi HIPAA. Ils n’ont pas le choix. Ce sont eux qui sont les plus concernés par ces règles et les plus susceptibles de faire l’objet d’audits fréquents. Les établissements plus modestes ne sont pas toujours préparés à faire face à ces risques. Or, les sanctions sont plus que sévères.

Voici quelques exemples d’amendes infligées aux États-Unis ces dernières années :

  • Affinity Health Plan a dû verser 1,2 million de dollars pour ne pas avoir effacé les disques durs de ses photocopieurs haut de gamme avant de les restituer à la société qui les avait loués.
  • WellPoint n'a pas sécurisé une base de données de santé en ligne et a dû verser une amende de 1,7 million de dollars.
  • L'hôpital ophtalmologique et otologique du Massachusetts n'a pas crypté les ordinateurs portables de ses médecins et s'est vu infliger une amende de 1,5 million de dollars.
  • Phoenix Cardiac Surgery a publié un rendez-vous de patient sur un calendrier en ligne et a dû verser une amende de 100 000 dollars.
  • Un magasin Walgreens de l'Indiana a porté atteinte à la vie privée d'une patiente et lui a versé 1,44 million de dollars.
  • Un centre de soins palliatifs situé dans l'Idaho a été victime d'un vol d'ordinateur portable. L'amende s'élevait à 50 000 dollars.
  • Un cabinet médical de Phoenix a transmis des données de patients par courrier électronique non sécurisé et s'est vu infliger une amende de 100 000 dollars.
  • Un cabinet de pédiatrie du Massachusetts a égaré une clé USB et s'est vu infliger une amende de 150 000 dollars
  • Un autre ordinateur portable volé à Boston a coûté 1 million de dollars au médecin.
  • La perte d'un disque de sauvegarde a coûté 1,7 million de dollars au département de la Santé de l'État d'Alaska.

Ce n'est qu'un aperçu. Le HSS tient à jour une liste exhaustive des infractions.

2. Le chiffrement est votre allié.

La loi HIPAA exige que toutes les données médicales protégées (PHI) transmises par voie électronique soient sécurisées, ce qui passe avant tout par un cryptage robuste. En effet, si les données sont cryptées de manière robuste, le fournisseur de services gérés (MSP) et le client sont pratiquement à l'abri de toute sanction en cas de violation de ces données ou si un appareil perdu est déjà crypté.

3. Les MSP sont responsables lorsque leurs clients enfreignent la loi HIPAA.

Les clients sont désignés sous le nom d'« entités concernées » et sont, par définition, tenus de se conformer à l'ensemble des dispositions de la loi HIPAA. Les prestataires de services gérés (MSP) qui travaillent dans le secteur de la santé sont appelés « partenaires commerciaux » et assument la même responsabilité que le client lui-même.

4. Vos clients potentiels ne se soucient probablement pas autant de la loi HIPAA que vous.

Les très grands hôpitaux et autres grands établissements de santé se soucient de la loi HIPAA. Et ce sont eux qui ont les moyens de prendre cette loi au sérieux, d'investir dans les technologies nécessaires pour garantir la conformité et de former leur personnel. Malheureusement, la majorité des petits cabinets ne se soucient guère de la loi HIPAA : ils n'ont jamais fait l'objet d'un audit et ne s'attendent pas à en subir un.

Votre mission consiste à les convaincre du contraire. Ils doivent comprendre qu'une amende au titre de la loi HIPAA pourrait avoir des conséquences financières désastreuses et détruire la relation de confiance qui les lie à leurs patients – ce qui pourrait véritablement mettre leur activité en péril. Ce sont les petits établissements de santé qui ont le plus besoin des services MSP HIPAA, car ils ne sont pas étroitement liés aux grandes compagnies d'assurance et aux hôpitaux.

5. L'évaluation de la sécurité constitue la première étape majeure d'une mission MSP dans le cadre de la loi HIPAA.

Dans certains cas, un MSP peut réaliser une évaluation de sécurité de base afin de convaincre un client potentiel du secteur de la santé que la conformité à la norme HIPAA est réellement importante et qu’il a besoin d’une aide externe pour y parvenir. Une fois le client convaincu, une évaluation approfondie de la sécurité permettra de déterminer ce qui doit être modifié immédiatement, quelles nouvelles technologies doivent être mises en place et comment les services MSP tels que la gestion à distance (RMM), l'authentification et la gestion des accès peuvent contribuer à la conformité HIPAA. Avec une gamme d'offres suffisamment riche, vous serez en mesure de vendre la « conformité en tant que service » au secteur de la santé – et, espérons-le, au-delà.

6. Il est utile de tout consigner par écrit.

Les règles HIPAA exigent que les MSP, en tant que partenaires commerciaux, consignent par écrit les mesures de protection mises en place pour les données ePHI. Ces documents doivent être remis à l'ensemble du personnel, qui doit en comprendre la signification.

7. Vous devez disposer d'un accord de partenariat HIPAA (BAA).

La règle finale « Omnibus » de la loi HIPAA exigeait que les partenaires commerciaux concluent des accords de partenariat commercial (BAA) avec leurs clients, c'est-à-dire les entités concernées. Cela signifie en substance que le partenaire commercial s'engage à respecter l'ensemble des dispositions de la loi HIPAA et à assurer la sécurité des informations de santé protégées électroniques (ePHI).

8. Le cryptage est un aspect un peu flou des règles, mais mieux vaut pécher par excès de prudence.

Le chiffrement est un domaine dans lequel la loi HIPAA n'est pas tout à fait claire. Le ministère américain de la Santé et des Services sociaux (HHS) préconise plutôt de prendre « les mesures raisonnables et appropriées » pour protéger les informations de santé protégées électroniques (ePHI), puis précise :

Pour se conformer aux normes comportant des spécifications de mise en œuvre applicables, une entité concernée devra, pour chaque spécification applicable, adopter l'une des mesures suivantes :

  • Mettre en œuvre les spécifications de mise en œuvre adressables
  • Mettre en place une ou plusieurs mesures de sécurité alternatives permettant d'atteindre le même objectif
  • Ne mettre en œuvre ni une spécification d'implémentation adressable, ni une alternative

En substance, cela signifie que les acteurs du secteur de la santé ou les analystes métier doivent trouver un moyen efficace de sécuriser les données. L'un des principaux problèmes concerne les données en transit. Dans ce cas, le seul moyen de s'assurer que les données sont protégées consiste à les chiffrer de manière sécurisée. Ainsi, bien que la loi HIPAA n'impose pas spécifiquement le chiffrement, celui-ci constitue le seul moyen raisonnable et viable de satisfaire aux exigences de la loi HIPAA, qui stipulent que les données ePHI doivent être protégées en permanence.

9. Pourquoi le chiffrement est-il indispensable ?

Il y a de fortes chances que votre évaluation des risques, même à un stade précoce, ait mis en évidence la nécessité du chiffrement. Cela en fait donc une exigence. Le chiffrement peut vous éviter bien des ennuis. De nombreuses amendes HIPAA sont dues à la perte ou au vol d'appareils contenant des données de santé électroniques protégées (ePHI). La bonne nouvelle, c'est qu'aucune amende n'est infligée en cas de perte ou de vol d'un appareil si celui-ci est chiffré – vous n'avez même pas besoin de le signaler.

10. L'évaluation des risques est votre alliée.

Il s'agit là d'une autre excellente idée qui est codifiée dans la décision omnibus HIPAA. Cette évaluation est obligatoire pour les entités concernées et les partenaires commerciaux.

L'évaluation porte sur :

  • Politiques de sécurité relatives à la loi HIPAA
  • Une analyse des vulnérabilités, des risques et des menaces pesant sur le système
  • Un plan visant à protéger et à sécuriser les données de santé électroniques (ePHI), quel que soit leur emplacement

11. Vous devez disposer d'un plan d'intervention en cas d'incident de sécurité (SIRP).

De plus, élément indispensable au regard de la loi HIPAA, le SIRP détaille et consigne les mesures à prendre en cas de faille de sécurité ou d'autres incidents de sécurité. Cela implique notamment de suivre les incidents de sécurité, dans l'espoir de prouver qu'aucune exploitation n'a abouti. En cas d'attaque ou de violation (même s'il ne s'agit que d'une tentative), vous devez documenter ce qui s'est passé et la gravité de l'incident. Les organisations comptant plus de 500 employés, patients ou partenaires doivent signaler l'incident au HHS.

12. Un MSP constitue la meilleure protection en cas d'audit.

Un audit consiste à contrôler un établissement de santé afin de s'assurer qu'il respecte la réglementation. L'objectif est d'évaluer la situation de l'établissement et d'identifier les mesures à prendre pour améliorer ses performances. Ces audits sont censés avoir lieu chaque année. La plupart des établissements de santé, même les plus grands, ne sont généralement pas équipés pour gérer un audit, compte tenu de toute sa complexité.

Un MSP est le mieux placé pour faire face à un audit, car il a mis en place toutes les mesures de sécurité nécessaires. Grâce à la surveillance et à la gestion à distance (RMM), le MSP dispose de tous les journaux d'événements et rapports indiquant qui a accédé à quoi et à quel moment.

13. Les mesures de sécurité et de contrôle des accès nécessitent une nouvelle approche en matière d'authentification et de gestion des accès.

L'un des principaux enjeux, voire le cœur même de la question relative à la loi HIPAA, consiste à s'assurer que seules les personnes dûment habilitées puissent accéder aux données de santé électroniques (ePHI) et aux systèmes qui les contiennent. Les politiques et procédures de gestion de l'accès à l'information sont essentielles pour empêcher tout accès non autorisé aux données de santé électroniques (ePHI) et aux autres données de santé.

Téléchargez l'ebook «Le guide du professionnel de l'informatique pour minimiser les risques liés à la conformité dans le secteur de la santé» pour découvrir les fonctionnalités indispensables à un système de gestion informatique qui vous aidera à répondre à vos besoins en matière de conformité.

À propos de l'auteur
Doug Barney a été le rédacteur en chef fondateur de Redmond Magazine, Redmond Channel Partner, Redmond Developer News et Virtualization Review. Il a également occupé les fonctions de rédacteur en chef adjoint de Network World, de rédacteur en chef d'AmigaWorld et de rédacteur en chef de Network Computing.

Une plateforme complète pour la gestion informatique et de la sécurité

Kaseya 365 la solution tout-en-un pour la gestion, la sécurisation et l'automatisation de l'informatique. Grâce à des intégrations transparentes entre les fonctions informatiques essentielles, elle simplifie les opérations, renforce la sécurité et améliore l'efficacité.

Demander une démonstration Découvrez Kaseya 365

Une seule plateforme. Tout l'informatique.

Kaseya 365 bénéficient des avantages des meilleurs outils de gestion informatique et de sécurité, le tout dans une solution unique.

Découvrez Kaseya 365

Votre succès est notre priorité absolue.

Partner First, c'est l'engagement d'offrir des conditions flexibles, un partage des risques et un accompagnement dédié à votre entreprise.

Découvrez Partner First Pledge »

Rapport Kaseya 2026 sur la situation des MSP

Kaseya - Rapport 2026 sur la situation des MSP - Image web - 1200 x 800 - MISE À JOUR

Découvrez les perspectives 2026 sur le MSP, issues des témoignages de plus de 1 000 prestataires, et apprenez comment augmenter votre chiffre d'affaires, vous adapter aux pressions du marché et rester compétitif.

Télécharger maintenant

Explorer les catégories

Autotask Live 2026 : Jeter les bases d'opérations informatiques pilotées par l'IA

Le salon Autotask Live 2026 s'est ouvert sur un message clair à l'intention des MSP et des équipes informatiques : l'IA est en train de transformer les opérations informatiques, mais

Lire l'article de blog

Pourquoi la gestion de votre MSP semble plus difficile en 2026 (et comment y remédier)

De nos jours, conquérir un nouveau client, c'est un peu comme faire la cour à quelqu'un qui ne manque pas de prétendants. Parce que

Lire l'article de blog

Conformité HIPAA pour les MSP : ce qui change et ce que vous devez faire dès maintenant

La loi HIPAA (Health Insurance Portability and Accountability Act) est l'un des cadres réglementaires les plus connus aux États-Unis et

Lire l'article de blog