Pourquoi un SaaS européen doit se soucier de HIPAA
Si votre SaaS santé cible des clients américains — hôpitaux, cliniques, assureurs santé, ou tout organisme manipulant des données de santé aux États-Unis — vous devez être conforme HIPAA (Health Insurance Portability and Accountability Act).
HIPAA s'applique non seulement aux "covered entities" (hôpitaux, assureurs) mais aussi à leurs "business associates" — c'est-à-dire tout prestataire ayant accès aux données de santé protégées (PHI). En tant que SaaS, vous êtes un business associate.
Qu'est-ce que le PHI ?
Les Protected Health Information (PHI) incluent toute information de santé identifiable individuellement :
- Noms, dates de naissance, adresses
- Numéros de sécurité sociale, numéros de dossier médical
- Diagnostics, traitements, résultats d'analyses
- Données de facturation médicale
- Toute donnée pouvant identifier un patient combinée à une information de santé
Le ePHI (electronic PHI) concerne spécifiquement les PHI stockées ou transmises électroniquement — c'est le cœur de HIPAA pour les SaaS.
Les 3 règles fondamentales de HIPAA
1. Privacy Rule (règle de confidentialité)
Définit qui peut accéder aux PHI et dans quelles conditions. Exige le minimum nécessaire — n'accédez qu'aux données strictement nécessaires à votre service.
2. Security Rule (règle de sécurité)
Impose des garanties administratives, physiques et techniques pour protéger le ePHI :
- Administratives : politiques de sécurité, formation, gestion des accès, plan de contingence
- Physiques : contrôle d'accès aux installations, sécurité des postes de travail
- Techniques : chiffrement, audit trails, contrôle d'accès, intégrité des données, authentification
3. Breach Notification Rule
En cas de violation de données PHI, notification obligatoire :
- Aux individus affectés sous 60 jours
- Au Department of Health and Human Services (HHS)
- Aux médias si plus de 500 personnes affectées dans un État
Automatisez vos questionnaires de sécurité
Compli.st répond à vos questionnaires ISO 27001, SOC 2 et GDPR en quelques minutes grâce à l'IA.
Essayer gratuitementLe Business Associate Agreement (BAA)
Avant de manipuler des PHI, vous devez signer un BAA avec chaque client. Ce contrat définit vos obligations en matière de protection des PHI. Sans BAA, votre client est en violation de HIPAA.
Un BAA type couvre : les utilisations autorisées des PHI, les obligations de sécurité, le reporting d'incidents, les droits d'audit, et les conditions de destruction des données.
HIPAA + RGPD : la double contrainte
En tant que SaaS européen, vous devez gérer simultanément HIPAA et RGPD. Les deux ont des exigences similaires mais pas identiques :
| Aspect | HIPAA | RGPD |
|---|---|---|
| Consentement | Non requis pour le traitement | Base légale requise |
| Notification breach | 60 jours | 72 heures |
| Droit à l'oubli | Non prévu | Oui (Art. 17) |
| Sanctions max | 1,9 M$ par violation | 20 M€ ou 4 % CA |
Étapes pratiques de mise en conformité
- Réalisez un risk assessment HIPAA spécifique au ePHI que vous manipulez
- Implémentez les contrôles techniques : chiffrement AES-256, audit logs, MFA, contrôle d'accès RBAC
- Rédigez vos politiques : politique de sécurité, plan de réponse aux incidents, politique d'accès
- Préparez votre BAA template à signer avec chaque client
- Formez vos équipes aux exigences HIPAA (obligatoire)
- Documentez tout — HIPAA exige des preuves de conformité conservées 6 ans
Comment Compli.st vous aide
Compli.st centralise votre documentation de conformité HIPAA et automatise les réponses aux questionnaires de sécurité spécifiques au secteur santé. Votre Trust Center permet de partager proactivement vos preuves de conformité HIPAA avec vos prospects américains.