Conformité HIPAA pour les MSP : ce qui change et ce que vous devez faire dès maintenant

La loi HIPAA (Health Insurance Portability and Accountability Act) est l'un des cadres réglementaires les plus connus aux États-Unis et l'un des plus importants pour les MSP (fournisseurs de services gérés) qui travaillent avec des clients du secteur de la santé. Si votre MSP gère l'infrastructure informatique d'hôpitaux, de cliniques, de cabinets dentaires, de prestataires de soins de santé mentale, d'assureurs santé ou de toute autre organisation traitant des informations médicales protégées (PHI), la conformité à la loi HIPAA n'est pas facultative. Il s'agit d'une obligation légale qui s'applique directement dans le cadre de la relation de service.

Selon le rapport Kaseya 2026 sur la situation des MSP, 71 % des MSP ont fait état d'une croissance de leur chiffre d'affaires lié à la cybersécurité par rapport à l'année précédente, et les services de mise en conformité HIPAA constituent un facteur déterminant pour les MSP qui travaillent avec des clients du secteur de la santé. Téléchargez le rapport complet.

Mais surtout : la loi HIPAA est en pleine évolution. Le 27 décembre 2024, le Bureau des droits civils du ministère américain de la Santé et des Services sociaux (HHS) a publié un avis de projet de réglementation qui, s’il est adopté, constituera la plus importante mise à jour de la règle de sécurité HIPAA depuis 2003. Les fournisseurs de services gérés (MSP) et les équipes informatiques du secteur de la santé qui anticipent ces changements pourront se préparer de manière proactive, plutôt que de se retrouver pris au dépourvu lorsque la réglementation définitive entrera en vigueur.

Qu'est-ce que la loi HIPAA ?

La loi HIPAA est une loi fédérale américaine promulguée en 1996, dont l'application est assurée par le Bureau des droits civils (OCR) du ministère américain de la Santé et des Services sociaux (HHS). Elle définit des normes de confidentialité et de sécurité applicables aux informations médicales protégées (PHI), c'est-à-dire aux informations médicales permettant d'identifier une personne et qui concernent son état de santé passé, présent ou futur, les soins médicaux qu'elle a reçus ou le paiement de ces soins.

La loi s'applique aux « entités concernées » (prestataires de soins de santé, régimes d'assurance maladie et centres de traitement des données de santé) et, surtout, à leurs « partenaires commerciaux », c'est-à-dire toute organisation qui crée, reçoit, conserve ou transmet des informations médicales protégées pour le compte d'une entité concernée.

Pour les professionnels de l'informatique, la règle de sécurité de la loi HIPAA, qui porte sur les informations médicales protégées sous forme électronique (ePHI), est l'élément le plus pertinent sur le plan opérationnel. Elle impose aux entités concernées et à leurs partenaires commerciaux de mettre en place des mesures de protection administratives, physiques et techniques afin de garantir la confidentialité, l'intégrité et la disponibilité des ePHI.

À qui s'applique la loi HIPAA, y compris aux MSP

Les entités concernées sont les prestataires de soins de santé qui effectuent des transactions électroniques courantes (facturation, demandes de consultation, vérification des droits), les régimes d'assurance maladie et les centres d'échange de données de santé.

Les partenaires commerciaux désignent toute personne ou organisation qui exerce des fonctions impliquant des informations médicales protégées (PHI) pour le compte d'une entité concernée. Cela inclut les prestataires de services informatiques, les services cloud hébergeant des informations médicales protégées, les sociétés de facturation, les cabinets d'avocats traitant des questions de santé et les prestataires de services gérés.

Un MSP qui fournit des services informatiques à une entité concernée, qu'il s'agisse de gérer des systèmes contenant des informations médicales protégées (PHI), d'assurer des sauvegardes incluant des PHI, d'offrir un accès à distance à des systèmes cliniques ou de gérer la sécurité du réseau, est considéré comme un partenaire commercial et est directement soumis aux exigences de la règle de sécurité HIPAA.

Les sous-traitants des partenaires commerciaux sont également considérés comme des partenaires commerciaux. Si un prestataire de services médicaux (MSP) fait appel à un fournisseur de sauvegarde dans le cloud pour stocker les sauvegardes des informations médicales protégées (PHI), ce fournisseur est également un partenaire commercial de l'entité concernée. Les obligations découlant de la loi HIPAA s'étendent tout au long de la chaîne d'approvisionnement.

Les trois règles HIPAA que les équipes informatiques doivent connaître

La règle relative à la confidentialité régit les modalités d'utilisation et de divulgation des informations médicales protégées (PHI). Il s'agit avant tout d'une question de politique et d'administration, mais les équipes informatiques doivent en avoir une bonne compréhension pour configurer correctement les contrôles d'accès et la journalisation des divulgations.

La règle de sécurité (45 CFR, parties 160 et 164) constitue la principale exigence technique en matière de conformité. Elle impose aux entités concernées et à leurs partenaires commerciaux de mettre en œuvre trois catégories de mesures de protection :

• Mesures de sécurité administratives : analyse des risques, gestion des risques, formation du personnel, procédures de gestion des accès, procédures d'intervention en cas d'incident.
• Mesures de sécurité physiques : contrôle des accès aux locaux, politiques relatives à l'utilisation des postes de travail et à la sécurité, contrôle des appareils et des supports.
• Mesures de sécurité techniques : contrôles d'accès (identifiants uniques, accès d'urgence, déconnexion automatique, chiffrement), contrôles d'audit (journaux d'activité du matériel et des logiciels), contrôles d'intégrité (vérification que les données ePHI n'ont pas été modifiées de manière inappropriée) et sécurité des transmissions (chiffrement des données ePHI en transit).

La règle relative à la notification des violations impose aux entités concernées d'informer les personnes concernées, le HHS et, dans certains cas, les médias, dans un délai de 60 jours à compter de la découverte d'une violation de données médicales protégées (PHI) non sécurisées. Les partenaires commerciaux doivent informer l'entité concernée sans retard injustifié et dans un délai de 60 jours à compter de la découverte d'une violation affectant les données médicales protégées (PHI) de cette dernière.

La mise à jour proposée de la règle de sécurité : ce que les MSP doivent surveiller

L'avis de projet de réglementation (NPRM) de décembre 2024 constitue la modification la plus importante proposée à la règle de sécurité HIPAA depuis plus de vingt ans. Le ministère américain de la Santé et des Services sociaux (HHS) avait prévu de publier la règle définitive en mai 2026, mais la période de consultation ayant suscité près de 5 000 réponses, le calendrier final pourrait être modifié. C'est à l'administration actuelle qu'il reviendra de décider s'il convient de finaliser cette règle et, le cas échéant, selon quelles modalités.

La voie à suivre est claire, quel que soit le calendrier définitif, et les mesures de contrôle de l'OCR font de ces domaines une priorité, que la mise à jour officielle soit finalisée ou non.

La fin des spécifications « facultatives ». Le changement structurel le plus important apporté par le projet de règlement consiste à supprimer la distinction entre les spécifications de mise en œuvre « obligatoires » et « facultatives ». En vertu des règles actuelles, les spécifications facultatives permettent aux organisations d'expliquer pourquoi une mesure de contrôle n'est pas adaptée à leur environnement. Le projet de règlement supprime cette flexibilité pour la quasi-totalité des spécifications. Des mesures telles que l'authentification multifactorielle (MFA) et le chiffrement deviendraient obligatoires, sans aucune possibilité de dérogation.

Authentification multifactorielle pour tout accès aux systèmes contenant des données de santé électroniques protégées (ePHI). La proposition imposerait l'authentification multifactorielle pour tout accès aux systèmes qui créent, reçoivent, gèrent ou transmettent des données de santé électroniques protégées (ePHI), y compris l'accès à distance et l'accès sur site. Cela permettrait de combler une lacune courante, les petites entités concernées et les partenaires commerciaux ayant indiqué que l'authentification multifactorielle n'était « pas appropriée » au titre de la norme adaptative.

Chiffrement au repos et en transit. Le chiffrement des données ePHI passerait du statut de mesure facultative à celui de mesure obligatoire, sans aucune exception. Les données ePHI chiffrées qui font l'objet d'une perte ou d'un vol bénéficient déjà, en vertu des règles actuelles, de l'exception de « sphère de sécurité » relative à la notification des violations. Rendre le chiffrement obligatoire ne fait que codifier ce qu'exige déjà une pratique justifiable.

Segmentation du réseau. Exigence proposée visant à isoler les systèmes traitant des données de santé électroniques (ePHI) du reste du réseau, y compris en les séparant des appareils IoT, des systèmes de gestion des bâtiments et des équipements médicaux connectés. Cette mesure s'applique aux fournisseurs de services gérés (MSP) qui gèrent des environnements de soins de santé ayant connu une croissance organique et accumulé une infrastructure non segmentée.

Analyse des vulnérabilités et tests d'intrusion. La proposition prévoit la réalisation d'analyses automatisées des vulnérabilités au moins tous les six mois et de tests d'intrusion annuels des systèmes contenant des informations de santé protégées (ePHI), menés par des professionnels qualifiés en cybersécurité, avec une documentation écrite des résultats et des mesures correctives.

Exigences en matière de sauvegarde et de reprise. Des exigences plus précises concernant la sauvegarde des données ePHI, notamment la mise en place de copies de sauvegarde hors ligne, la définition d'objectifs de temps de reprise documentés et une attention particulière portée aux systèmes de sauvegarde ciblés par les ransomwares. Pour les MSP chargés de la gestion de la continuité des activités et de la reprise après sinistre (BCDR) dans le secteur de la santé, cela signifie que l'architecture de sauvegarde et les tests de reprise constituent désormais des preuves documentées de conformité, et non plus seulement des bonnes pratiques opérationnelles.

Inventaire des actifs et cartographie du réseau. Inventaire documenté de tous les actifs technologiques qui créent, reçoivent, gèrent ou transmettent des données de santé électroniques protégées (ePHI), mis à jour chaque année et à la suite de changements environnementaux importants. Les outils de découverte des actifs et les résultats de la cartographie du réseau, qui font déjà partie des pratiques courantes dans la gestion informatique basée sur la gestion à distance (RMM), deviennent des preuves formelles de conformité en vertu du projet de règlement.

Renforcement des exigences relatives aux accords de partenariat commercial (BAA). Le projet de règlement imposerait aux accords de partenariat commercial de préciser les mesures de sécurité techniques mises en œuvre par le partenaire commercial et exigerait une vérification annuelle confirmant que ces mesures sont effectivement en place. La simple signature d'un accord de partenariat commercial ne suffirait plus : les entités concernées devraient disposer de preuves documentées attestant que leurs partenaires commerciaux respectent leurs obligations.

Notification des violations par les partenaires commerciaux : délai de 24 heures. Le projet de règlement imposerait aux partenaires commerciaux d'informer les entités concernées dans les 24 heures suivant la mise en œuvre d'un plan d'intervention ou d'urgence, ce qui renforcerait considérablement la norme actuelle prévoyant une notification « sans retard injustifié dans un délai de 60 jours ». Un fournisseur de services gérés (MSP) qui constaterait un incident de sécurité affectant un client du secteur de la santé à 23 heures un vendredi devrait en informer l'entité concernée avant minuit le samedi.

Pour les MSP qui travaillent avec des clients du secteur de la santé, ces modifications proposées indiquent déjà où il convient d'investir. Que la réglementation finale corresponde ou non exactement à la proposition, la tendance en matière d'application de la loi va déjà dans ce sens.

Accords de partenariat commercial : le fondement de la conformité au MSP

Un accord de partenariat commercial (BAA) est un contrat exigé par la loi HIPAA entre une entité concernée et ses partenaires commerciaux. Sans BAA, l'entité concernée ne peut légalement partager des informations médicales protégées (PHI) avec le MSP. Le fait d'exercer en tant que partenaire commercial sans BAA en vigueur constitue une violation de la loi HIPAA pour les deux parties.

Un accord de partenariat commercial (BAA) conforme doit préciser :

• Quelles données médicales protégées (PHI) le partenaire commercial traite-t-il pour le compte de l'entité concernée ?
• Utilisations et divulgations autorisées des informations médicales protégées
• Mesures de sécurité requises, conformément à la règle de sécurité HIPAA
• Obligations et délais en matière de notification des violations de données
• Obligations envers les sous-traitants en aval, y compris les exigences relatives aux sous-BAA
• Obligations en cas de résiliation du contrat : restitution ou destruction des données médicales protégées

Les prestataires de services médicaux (MSP) qui n’ont pas conclu d’accord de partenariat commercial (BAA) avec chaque client du secteur de la santé traitant des informations médicales protégées (PHI) se trouvent en situation d’infraction. Il s’agit là d’une des lacunes les plus fréquemment relevées dans l’application de la loi HIPAA, et l’une des plus facilement évitables. Les mesures coercitives prises par l’OCR en 2025 ont explicitement mis en avant les manquements en matière d’analyse des risques et d’accords de partenariat commercial (BAA) comme des constatations centrales dans le cadre de plusieurs accords conclus avec des partenaires commerciaux.

En vertu du projet de règlement, les accords de confidentialité (BAA) devraient être nettement plus précis. Au lieu de se contenter de formulations générales relatives aux obligations de sécurité, les BAA devraient préciser les mesures de protection techniques mises en place et prévoir une vérification annuelle de la conformité. Les fournisseurs de services de gestion (MSP) devraient dès à présent examiner leurs modèles de BAA existants à la lumière des exigences proposées.

Compliance Manager GRC Kaseya facilite la documentation des accords de partenariat commercial (BAA) et l'évaluation des lacunes par rapport à la règle de sécurité HIPAA, offrant ainsi aux fournisseurs de services gérés (MSP) un moyen structuré de déterminer quels clients ont besoin d'un BAA, quels engagements ont été pris et quelles preuves techniques sont nécessaires pour les étayer. Découvrez Compliance Manager GRC.

Application de la loi HIPAA : quelles sont les sanctions prévues ?

Les sanctions civiles prévues par la loi HIPAA sont échelonnées en fonction du degré de responsabilité et ajustées chaque année en fonction de l'inflation :

– Niveau 1, « Je ne savais pas » : de 100 $ à 50 000 $ par infraction, plafond annuel de 25 000 $

– Niveau 2, motif valable : de 1 000 $ à 50 000 $ par infraction, plafond annuel de 100 000 $

– Niveau 3, négligence volontaire, après correction : de 10 000 $ à 50 000 $ par infraction, plafond annuel de 250 000 $

– Niveau 4, négligence délibérée non corrigée : 50 000 $ par infraction, plafond annuel de 1,5 million de dollars

Les sanctions pénales prévues par la loi HIPAA peuvent aller jusqu'à 250 000 dollars et 10 ans d'emprisonnement en cas d'infractions commises en toute connaissance de cause. Les procureurs généraux des États peuvent également engager des poursuites parallèles en vertu de la législation de leur État, ce qui peut entraîner des sanctions supplémentaires et des obligations de réparation.

En 2024, l'application de la loi par l'OCR a franchi une étape importante, avec 22 enquêtes ayant donné lieu à des sanctions pécuniaires civiles ou à des accords à l'amiable — l'une des années les plus actives jamais enregistrées en matière de contrôle. Rien qu'au cours des cinq premiers mois de 2025, l'OCR a annoncé 10 accords de règlement concernant des entités concernées et des partenaires commerciaux.

Le constat qui ressort systématiquement des récentes mesures coercitives : l'absence d'analyse des risques approfondie et documentée. Parmi les mesures coercitives prises par l'OCR en 2025 figurait un accord à l'amiable de 3 millions de dollars conclu avec une société de facturation médicale qui n'avait pas procédé à une analyse des risques avant qu'une attaque par ransomware ne compromette les données de 585 000 personnes. Cette société était un partenaire commercial, et non une entité soumise à la réglementation. La responsabilité directe des partenaires commerciaux est une réalité bien établie en matière de mesures coercitives, et non un risque théorique.

Mettre en place une activité de MSP conforme à la loi HIPAA

Les étapes suivantes s'appliquent à la fois aux obligations d'un MSP en tant que partenaire commercial et aux programmes de conformité qu'il met en œuvre pour le compte de ses clients du secteur de la santé.

Étape 1 : Identifiez tous les clients du secteur de la santé qui traitent des informations médicales protégées (PHI). Déterminez qui sont vos clients et quelles données circulent dans leurs environnements. Cela permet de définir la portée de vos obligations au titre de l'accord de confidentialité (BAA) et de votre propre programme de conformité.

Étape 2 : Conclure des accords de confidentialité (BAA) avec tous les clients relevant de cette obligation. Si des accords de confidentialité signés n'ont pas encore été conclus avec tous les clients du secteur de la santé traitant des informations médicales protégées (PHI), il s'agit là d'une priorité absolue.

Étape 3 : Réaliser une analyse des risques documentée. La loi HIPAA exige une analyse précise et approfondie des risques de sécurité, qui identifie les risques pesant sur les données de santé électroniques protégées (ePHI) dans les systèmes que vous gérez, évalue leur probabilité et leur impact, et consigne les décisions prises en matière de gestion des risques. Il s'agit là du fondement administratif de la conformité. Sans analyse des risques documentée, aucun autre contrôle technique ne peut être considéré comme conforme de manière défendable. Au vu des mesures coercitives prises par l'OCR en 2024 et 2025, l'absence d'analyse des risques constitue la voie la plus sûre vers un règlement à l'amiable.

Étape 4 : Imposer l'authentification multifactorielle (MFA) pour tous les accès aux systèmes contenant des informations de santé protégées (ePHI). Compte tenu à la fois des recommandations actuelles et de la norme obligatoire proposée, l'authentification multifactorielle (MFA) pour tous les accès aux systèmes contenant des informations de santé protégées (PHI) est indispensable pour garantir une conformité justifiable. Cela inclut les accès à distance, les comptes administrateurs et tout portail permettant d'accéder aux systèmes cliniques.

Étape 5 : Mettre en place un système de chiffrement. Chiffrez les données ePHI au repos sur tous les appareils gérés et lors de leur transfert sur tous les réseaux. Les données ePHI chiffrées qui font l'objet d'une perte ou d'un vol peuvent bénéficier de l'exception « safe harbor » relative à la notification des violations prévue par la règle sur la notification des violations ; le chiffrement constitue à la fois une mesure de conformité et un outil de réduction des risques dans le cadre de la gestion des incidents.

Étape 6 : Assurer une sauvegarde conforme à la norme HIPAA. La sauvegarde des données ePHI doit s'accompagner de procédures de reprise documentées, d'une capacité de restauration testée et de copies hors ligne ou immuables capables de résister aux attaques par ransomware. Datto BCDR offre les capacités techniques nécessaires aux MSP qui gèrent des environnements de soins de santé ; les procédures opérationnelles doivent être documentées et testées par rapport à des objectifs de temps de reprise définis.

Étape 7 : Mettre en place la journalisation des audits. Enregistrer tous les accès aux systèmes contenant des données ePHI. Examiner régulièrement les journaux. Conserver les journaux pendant au moins six ans, conformément à la norme HIPAA relative à la conservation des documents.

Étape 8 : Documenter et tester la procédure de gestion des incidents. Le projet de règlement imposerait de tester chaque année les plans officiels de gestion des incidents. En documentant et en testant dès maintenant vos procédures de gestion des incidents, vous prenez une longueur d'avance sur cette exigence et comblez une lacune que l'OCR a maintes fois soulignée dans le cadre de ses contrôles.

Compliance Manager GRC un module d'évaluation de la règle de sécurité HIPAA qui permet aux fournisseurs de services gérés (MSP) de suivre l'état de conformité par rapport aux exigences en vigueur, de réaliser et de documenter des analyses de risques, de mettre en correspondance les contrôles avec la règle de sécurité, et de générer des justificatifs pour les audits de l'OCR ou les examens de sécurité des clients. Découvrez-le ici.