Exigences de Conformité HIPAA : Le Guide Complet, Actualisé selon les Évolutions 2025 de la Security Rule
L’Health Insurance Portability and Accountability Act (HIPAA) établit des normes fédérales américaines pour protéger les informations de santé des patients au sein des organisations qui les créent, les reçoivent, les conservent ou les transmettent. La conformité HIPAA n’est pas une simple liste de contrôle : c’est un cadre reposant sur quatre règles interdépendantes qui régissent la confidentialité, la sécurité, la notification des violations de données et le traitement des données, aussi bien pour les entités couvertes qui prennent en charge directement les patients que pour les partenaires commerciaux (business associates) qui les accompagnent.
Comprendre ce qu’exige réellement HIPAA — et pas seulement le fait qu’elle existe — constitue le point de départ pour bâtir un programme de conformité capable de résister à l’examen de l’OCR (Office for Civil Rights). Ce guide couvre les quatre règles, les mises à jour proposées en 2025 pour la Security Rule — la révision la plus importante depuis plus d’une décennie —, le régime de sanctions applicable en cas de non-conformité, ainsi que ce que les organisations doivent mettre en œuvre concrètement pour satisfaire chaque exigence.
Résumé exécutif
Idée clé : La conformité HIPAA exige de satisfaire quatre règles — Privacy Rule, Security Rule, Breach Notification Rule et Omnibus Rule — dans les domaines administratif, physique et technique. Pour les entités couvertes comme pour les partenaires commerciaux, être conforme ne se limite pas à mettre en place des contrôles : il faut aussi conserver des preuves documentées attestant que ces contrôles fonctionnent réellement. Si les amendements proposés en 2025 à la Security Rule sont finalisés, ils rendront obligatoires le chiffrement, l’authentification multifacteur et la segmentation réseau pour toutes les entités couvertes et tous les partenaires commerciaux — supprimant la flexibilité « addressable » sur laquelle les organisations s’appuyaient historiquement.
Pourquoi c’est important : Rien qu’en 2024, l’Office for Civil Rights (OCR) a clôturé 63 actions coercitives, avec des sanctions allant de quelques dizaines de milliers à plusieurs dizaines de millions de dollars. Le secteur de la santé a été le plus touché par les violations de données pour la quatorzième année consécutive. La posture de l’OCR est passée d’une approche réactive — répondre aux signalements de violations — à une approche proactive, avec un programme d’audit actif ciblant les entités couvertes et les partenaires commerciaux, qu’une violation ait eu lieu ou non. La norme de conformité HIPAA ne consiste pas à avoir un programme sur le papier, mais à pouvoir démontrer qu’il fonctionne réellement lorsque l’OCR le demande.
Points clés à retenir
1. HIPAA s’applique de la même manière aux entités couvertes et aux partenaires commerciaux.
Depuis l’Omnibus Rule de 2013, les partenaires commerciaux — fournisseurs, prestataires cloud, sociétés de facturation et partenaires technologiques qui traitent des PHI pour le compte d’entités couvertes — sont soumis aux mêmes exigences de conformité HIPAA et à la même exposition aux sanctions que les organisations de santé qu’ils servent. Un Business Associate Agreement (BAA) est exigé par la loi, mais il ne remplace pas les contrôles techniques. Un BAA qui attribue des obligations de conformité sans les mesures sous-jacentes de chiffrement, de contrôle d’accès et de journalisation des audits pour les étayer n’est qu’un document contractuel adossé à une posture de sécurité inapplicable.
2. Les amendements proposés en 2025 à la Security Rule suppriment la soupape de sécurité « addressable ».
Dans la version originale de la Security Rule, les mesures de protection étaient classées comme « required » (obligatoires) ou « addressable » (à évaluer). Les mesures obligatoires devaient être mises en œuvre sans exception. Les mesures « addressable » devaient l’être également, sauf si l’entité couverte pouvait documenter une alternative raisonnable. En pratique, de nombreuses organisations se sont appuyées sur cette catégorie pour repousser la mise en œuvre du chiffrement et d’autres contrôles. Les amendements proposés en 2025 suppriment totalement cette distinction : le chiffrement au repos et en transit, l’authentification multifacteur, la segmentation réseau et plusieurs autres mesures deviennent obligatoires pour toutes les entités couvertes et tous les partenaires commerciaux, sans possibilité de justifier une alternative.
3. L’analyse des risques est obligatoire, pas facultative — et elle doit rester à jour.
La Security Rule impose aux entités couvertes et aux partenaires commerciaux de réaliser une évaluation précise et approfondie des risques et vulnérabilités susceptibles d’affecter la confidentialité, l’intégrité et la disponibilité des ePHI. L’OCR a clairement indiqué, dans le cadre de ses actions coercitives, qu’une analyse de risques réalisée des années auparavant et jamais actualisée ne satisfait pas cette exigence. Une analyse de risques HIPAA n’est pas un exercice ponctuel : elle doit être révisée et mise à jour périodiquement, ainsi qu’à chaque changement opérationnel ou environnemental significatif.
4. Les relations avec les partenaires commerciaux élargissent votre périmètre de conformité — et votre responsabilité.
Tout fournisseur, prestataire cloud ou partenaire technologique qui accède à des PHI, les stocke ou les transmet pour votre compte est un partenaire commercial. Ses défaillances en matière de sécurité deviennent votre exposition en matière de conformité. HIPAA impose aux entités couvertes de mettre en place des mesures techniques et contractuelles encadrant la façon dont les partenaires commerciaux traitent les PHI — et ces mesures doivent être appliquées concrètement, pas seulement consignées dans un BAA. Les amendements proposés en 2025 renforcent les exigences de supervision des partenaires commerciaux, notamment des audits annuels et des délais de notification des incidents plus stricts.
5. Les journaux d’audit constituent une infrastructure obligatoire, pas une simple fonctionnalité de reporting facultative.
La norme Audit Controls de la Security Rule (45 C.F.R. § 164.312(b)) impose aux entités couvertes et aux partenaires commerciaux de mettre en place des mécanismes permettant d’enregistrer et d’examiner l’activité des systèmes contenant des ePHI. Il ne s’agit pas d’exigences accessoires : les actions coercitives de l’OCR citent régulièrement une journalisation d’audit incomplète ou absente comme violation de la Security Rule. Une piste d’audit qui capture qui a accédé aux PHI, quand, depuis quel système, sous quelle autorisation et avec quel résultat constitue à la fois le mécanisme de détection des incidents de sécurité et la preuve documentaire de conformité en cas d’audit.
À qui s’applique HIPAA
HIPAA s’applique à deux catégories d’organisations : les entités couvertes et les partenaires commerciaux.
Les entités couvertes sont les prestataires de soins qui transmettent des informations de santé par voie électronique (hôpitaux, cabinets médicaux, cliniques, pharmacies), les régimes de santé (assureurs, HMO, régimes de santé financés par l’employeur) et les chambres de compensation de données de santé qui convertissent les informations de santé d’un format à un autre.
Les partenaires commerciaux sont des organisations qui exercent des fonctions ou activités pour le compte d’une entité couverte impliquant l’utilisation ou la divulgation de PHI. Cela inclut les fournisseurs de services cloud qui stockent des ePHI, les prestataires de services gérés qui administrent les systèmes informatiques de santé, les sociétés de facturation, les services de transcription, les conseillers juridiques, les experts-comptables, et toute plateforme technologique par laquelle transitent des PHI. Depuis l’Omnibus Rule de 2013, les partenaires commerciaux sont exposés aux mêmes sanctions que les entités couvertes en cas de violation — le statut de partenaire commercial ne constitue pas un tampon de conformité.
Les organisations qui ne créent, ne reçoivent, ne conservent ni ne transmettent de PHI ne sont généralement pas soumises à HIPAA. Mais le seuil déclenchant le statut de partenaire commercial est plus bas que ce que la plupart des organisations imaginent. Un fournisseur de stockage cloud qui héberge des PHI chiffrées — même sans pouvoir y accéder — est considéré comme un partenaire commercial au sens de HIPAA et doit signer un BAA et mettre en œuvre des mesures de protection appropriées.
Les quatre règles de HIPAA
La Privacy Rule
La Privacy Rule établit des normes nationales américaines pour la protection des informations de santé permettant d’identifier une personne — en définissant ce qui constitue une Protected Health Information (PHI), qui peut l’utiliser ou la divulguer, dans quelles circonstances, et quels droits sont attachés au patient.
Une PHI désigne toute information relative à l’état de santé passé, présent ou futur d’une personne, à la fourniture de soins ou au paiement de soins, et permettant d’identifier cette personne. Les 18 identifiants HIPAA vont des noms et dates aux données géographiques et identifiants d’appareils. Les données dé-identifiées — dont les 18 identifiants ont été supprimés selon une méthode approuvée — sortent du champ d’application de HIPAA.
La Privacy Rule autorise l’utilisation et la divulgation des PHI à des fins de traitement, de paiement et de gestion des opérations de soins, sans autorisation du patient. Elle exige une autorisation pour la plupart des autres divulgations. Les patients ont le droit d’accéder à leurs propres PHI, de demander des rectifications, de recevoir un relevé des divulgations effectuées et de demander des restrictions d’utilisation. La norme Minimum Necessary impose aux entités couvertes et aux partenaires commerciaux de limiter l’accès aux PHI au strict nécessaire pour chaque finalité précise — une exigence qui s’applique aussi bien à l’accès humain qu’à l’accès par des systèmes d’IA.
Pour une analyse détaillée des exigences Minimum Necessary et de la mise en œuvre du contrôle d’accès basé sur les rôles, consultez HIPAA Minimum Necessary Rule: Complete Compliance Guide.
La Security Rule
La Security Rule établit des normes nationales pour la protection des PHI électroniques (ePHI) — les PHI créées, reçues, conservées ou transmises sous forme électronique. Elle impose aux entités couvertes et aux partenaires commerciaux de mettre en œuvre des mesures de protection administratives, physiques et techniques garantissant la confidentialité, l’intégrité et la disponibilité des ePHI.
Les mesures administratives regroupent les politiques, procédures et programmes de formation qui encadrent la gestion de la sécurité des ePHI au sein d’une organisation. Elles comprennent le processus de gestion de la sécurité (analyse et gestion des risques), la formation du personnel, la gestion des accès, la planification de la continuité d’activité et la supervision des partenaires commerciaux. La Security Rule exige la désignation d’un Security Officer chargé d’élaborer et de mettre en œuvre les politiques et procédures de sécurité.
Les mesures physiques encadrent l’accès aux systèmes et locaux physiques où résident les ePHI. Elles comprennent le contrôle d’accès aux locaux, les politiques d’utilisation des postes de travail, la sécurisation de ces postes, et le contrôle des supports et équipements couvrant la manipulation, le déplacement et la mise au rebut des supports électroniques contenant des ePHI.
Les mesures techniques sont les contrôles technologiques qui protègent les ePHI et en régulent l’accès. Elles comprennent le contrôle d’accès (identification unique de l’utilisateur, déconnexion automatique, chiffrement et déchiffrement), les contrôles d’audit, les contrôles d’intégrité (garantissant que les ePHI ne sont pas altérées ou détruites de façon inappropriée) et la sécurité de la transmission (protection des ePHI transmises sur les réseaux de communication électroniques).
Pour le détail complet des mesures de protection techniques, consultez HIPAA Security Rule Requirements and 2025 Updates.
La Breach Notification Rule
La Breach Notification Rule impose aux entités couvertes de notifier les personnes concernées, le HHS (Department of Health and Human Services) et, dans certains cas, les médias, à la suite d’une violation de PHI non sécurisées. Les partenaires commerciaux doivent notifier l’entité couverte sans délai injustifié, et au plus tard 60 jours après la découverte de la violation.
Le calendrier de notification imposé aux entités couvertes est strict : les personnes concernées doivent être informées sans délai injustifié, et au plus tard 60 jours après la découverte de l’incident. Les violations touchant 500 personnes ou plus dans un même État ou une même juridiction imposent également une notification aux principaux médias locaux. Toutes les violations doivent être signalées au HHS : celles touchant 500 personnes ou plus dans un délai de 60 jours suivant leur découverte, les violations de moindre ampleur pouvant faire l’objet d’un signalement annuel groupé.
Les PHI chiffrées au moment d’une violation — dont les clés de chiffrement sont restées sécurisées — bénéficient du safe harbor prévu par la Breach Notification Rule. Les données chiffrées sont considérées comme « inutilisables, illisibles ou indéchiffrables » et ne déclenchent pas d’obligation de notification. Ce safe harbor constitue l’une des raisons les plus déterminantes, sur le plan opérationnel, de mettre en œuvre le chiffrement : la violation de PHI correctement chiffrées ne constitue pas une violation HIPAA à signaler. Pour une analyse complète du safe harbor lié au chiffrement, consultez AES-256 Encryption for HIPAA: Breach Safe Harbor Guide.
L’Omnibus Rule
L’Omnibus Rule de 2013 a introduit plusieurs changements structurels à HIPAA qui restent en vigueur aujourd’hui. Le plus important : elle a étendu l’intégralité des obligations de conformité et de l’exposition aux sanctions aux partenaires commerciaux et à leurs sous-traitants — comblant ainsi la faille qui permettait auparavant aux fournisseurs en aval d’opérer sous des exigences moins strictes. Elle a également renforcé les droits des patients (notamment le droit de demander des copies des ePHI conservées dans les dossiers de santé électroniques), limité l’utilisation des PHI à des fins commerciales, et interdit la vente de PHI sans autorisation du patient.
Les amendements proposés en 2025 à la Security Rule
En janvier 2025, le HHS a proposé la révision la plus importante de la Security Rule depuis sa publication initiale. Ces amendements répondent à la recrudescence des violations de données de santé et des attaques par ransomware, qui ont mis en lumière les failles créées par une application inégale de la catégorie « addressable » de la règle d’origine.
Le changement central : les amendements proposés suppriment la distinction entre spécifications « required » et « addressable ». Dans le cadre de la règle amendée, les mesures suivantes deviendraient obligatoires pour toutes les entités couvertes et tous les partenaires commerciaux, sans possibilité de justifier une alternative documentée :
Chiffrement des ePHI au repos et en transit. Le chiffrement au repos (couvrant les ePHI stockées dans les bases de données, systèmes de fichiers et supports de sauvegarde) et le chiffrement en transit (couvrant les ePHI transmises sur tout réseau électronique) deviendraient obligatoires. Les amendements proposés font référence aux normes de chiffrement validées FIPS — faisant ainsi des modules cryptographiques validés FIPS 140-3 la norme de mise en œuvre requise.
Authentification multifacteur. Le MFA serait exigé pour tout accès aux systèmes contenant des ePHI. L’authentification à facteur unique basée sur un mot de passe ne suffirait plus à satisfaire les exigences de la Security Rule.
Segmentation réseau. Les entités couvertes et les partenaires commerciaux devraient mettre en place des contrôles réseau isolant les systèmes contenant des ePHI des autres segments du réseau — limitant ainsi les mouvements latéraux en cas de violation.
Inventaires annuels des actifs technologiques. Les organisations devraient tenir à jour un inventaire de tous les actifs technologiques accédant, stockant ou transmettant des ePHI — une exigence fondamentale pour une analyse de risques précise et une réponse aux incidents efficace.
Analyse de risques documentée avec un périmètre précis. Les amendements proposés précisent l’exigence d’analyse de risques, en définissant ce qu’elle doit couvrir et en imposant aux organisations de documenter les risques identifiés, leur probabilité, leur impact, ainsi que les contrôles mis en place pour y remédier.
Plans écrits de réponse aux incidents et de reprise après sinistre, avec une capacité de restauration sous 72 heures. Les organisations devraient tenir à jour des plans documentés pour répondre aux incidents de sécurité et restaurer leurs systèmes dans un délai de 72 heures après une interruption.
Audits de conformité annuels et supervision renforcée des fournisseurs. Les amendements proposés renforcent les exigences de supervision des partenaires commerciaux, notamment des clauses contractuelles imposant une vérification annuelle de la conformité.
En date de juillet 2026, ces amendements demeurent au stade de proposition — le processus formel d’élaboration réglementaire est toujours en cours. Les organisations ne devraient pas attendre la publication définitive pour commencer leur mise en œuvre. Ces changements reflètent d’ores et déjà la posture d’application de l’OCR, quel que soit leur statut formel, et le projet de loi HISAA de 2025, présenté par les sénateurs Wyden et Warner, imposerait des exigences encore plus strictes s’il était adopté. Pour connaître le statut actuel de ces propositions, consultez HIPAA Security Rule Requirements and 2025 Updates.
Sanctions et mise en application de HIPAA
Les violations de HIPAA entraînent des sanctions civiles et pénales dont le montant varie en fonction de la gravité et du caractère délibéré du manquement.
Les sanctions civiles sont échelonnées selon le degré de connaissance et de responsabilité. Les organisations n’ayant pas eu connaissance d’une violation encourent un minimum de 100 $ par incident. Les violations pour cause raisonnable mais sans négligence délibérée entraînent un minimum de 1 000 $ par incident. Une négligence délibérée corrigée entraîne un minimum de 10 000 $ par incident. Une négligence délibérée non corrigée entraîne un minimum de 50 000 $ par incident. Les plafonds annuels par catégorie de violation vont de 25 000 $ pour le palier le plus bas à 1,5 million de dollars pour le plus élevé — l’OCR ayant toutefois interprété ce plafond comme s’appliquant par année civile et par type de violation, ce qui multiplie considérablement l’exposition en cas de non-conformité prolongée sur plusieurs années.
Les sanctions pénales s’appliquent aux violations commises en connaissance de cause et sont poursuivies par le Department of Justice. Le fait d’obtenir ou de divulguer sciemment des PHI en violation de HIPAA est passible d’une amende pouvant atteindre 50 000 $ et d’une peine d’emprisonnement pouvant aller jusqu’à un an. Les violations commises sous de faux prétextes portent ce plafond à 100 000 $ et cinq ans. Les violations commises dans l’intention de vendre, de transférer ou d’utiliser des PHI à des fins d’avantage commercial ou de gain personnel sont passibles d’une amende pouvant atteindre 250 000 $ et d’une peine d’emprisonnement pouvant aller jusqu’à dix ans.
Les actions coercitives de l’OCR ciblent de plus en plus l’ensemble du secteur de la santé — non seulement les grands systèmes hospitaliers, mais aussi les cabinets médicaux, les régimes de santé et les partenaires commerciaux. Les Corrective Action Plans qui accompagnent les accords transactionnels imposent généralement des obligations de suivi pluriannuelles et des améliorations obligatoires du programme de conformité, qui vont bien au-delà de la sanction initiale.
Construire une architecture technique conforme à HIPAA
Les exigences de la Security Rule en matière de mesures techniques se traduisent par un ensemble précis de capacités que les entités couvertes et les partenaires commerciaux doivent mettre en œuvre au niveau de leur plateforme. C’est dans l’écart entre disposer d’outils isolés qui répondent chacun à une exigence particulière, et disposer d’une architecture unifiée qui les satisfait toutes simultanément, que la plupart des organisations accumulent un risque de non-conformité.
Chiffrement sur l’ensemble des canaux. Les ePHI transitent par bien plus de canaux que ce que la plupart des organisations ne l’imaginent : e-mail, partage de fichiers, transfert de fichiers géré, formulaires web, intégrations API, et de plus en plus des systèmes d’IA accédant à des données cliniques. Chaque canal doit mettre en œuvre le chiffrement AES-256 au repos et TLS 1.2 au minimum (TLS 1.3 de préférence) en transit. Les canaux qui chiffrent certains flux de PHI mais pas d’autres créent des failles dans le safe harbor : une violation de PHI non chiffrées via un canal non chiffré déclenche une obligation de notification, quel que soit le niveau de protection des autres canaux. Pour une checklist des pistes d’audit, consultez HIPAA Audit Logs: Complete Requirements.
Des contrôles d’accès qui appliquent le principe Minimum Necessary. Les contrôles d’accès techniques doivent limiter l’accès aux ePHI au strict nécessaire pour chaque finalité précise. Le contrôle d’accès basé sur les rôles (RBAC) détermine quel personnel peut accéder à quelles catégories de PHI. Le contrôle d’accès basé sur les attributs (ABAC) applique des politiques dynamiques et contextuelles qui font respecter le principe Minimum Necessary au niveau de chaque opération — et non plus seulement au niveau du compte. L’identification unique des utilisateurs, la fermeture automatique des sessions et les procédures d’accès d’urgence complètent les exigences techniques de protection.
Une journalisation d’audit immuable sur l’ensemble des systèmes traitant des ePHI. Les journaux d’audit doivent capturer chaque événement d’accès : qui a accédé à quelles PHI, quand, depuis quel système, sous quelle autorisation, et quelle action a été effectuée. Ces journaux doivent être stockés dans un format ne pouvant être modifié a posteriori. Les organisations dont la journalisation est fragmentée entre systèmes de messagerie, plateformes de partage de fichiers, modules d’audit des dossiers médicaux électroniques et infrastructure réseau ne peuvent pas produire de piste d’audit cohérente en cas de contrôle de l’OCR — c’est pourquoi une journalisation consolidée et transverse à tous les canaux constitue une exigence pratique de conformité, et pas seulement une bonne pratique.
Une gouvernance technique des partenaires commerciaux. Un BAA est exigé par la loi. Mais la Security Rule impose également des contrôles techniques encadrant les PHI auxquelles les partenaires commerciaux peuvent accéder, la journalisation de leurs accès dans la même piste d’audit que celle des utilisateurs internes, et la révocation de l’accès à la fin de la relation. L’obligation de conformité suit la donnée : des PHI présentes dans l’environnement d’un partenaire commercial demeurent sous la responsabilité de conformité de l’entité couverte.
Pour le cadre complet de mise en œuvre en cinq étapes, consultez 5 Steps to Achieve HIPAA Compliance.
Comment Kiteworks accompagne la conformité HIPAA
Kiteworks a été conçu pour répondre aux exigences de gouvernance des données que HIPAA impose aux entités couvertes et aux partenaires commerciaux qui traitent des ePHI à travers de multiples canaux d’échange.
Concernant le chiffrement : Kiteworks applique un chiffrement AES-256 à la fois au niveau du fichier et du disque — un double chiffrement — reposant sur des modules cryptographiques validés FIPS 140-3. Les clés de chiffrement appartenant au client rendent Kiteworks techniquement incapable de déchiffrer les données du client. Les ePHI transmises via n’importe quel canal Kiteworks — e-mail sécurisé, partage de fichiers sécurisé, transfert de fichiers géré, SFTP ou formulaires de données sécurisés — sont protégées par TLS 1.2 au minimum, avec TLS 1.3 disponible. Les PHI correctement chiffrées sur la plateforme Kiteworks bénéficient du safe harbor de notification des violations prévu par HIPAA.
Concernant les contrôles d’accès : Kiteworks applique des politiques RBAC et ABAC via un moteur de politiques de données unifié (Data Policy Engine). L’accès est régi par fichier, par dossier et par utilisateur, avec une application du principe Minimum Necessary au niveau de chaque opération. Les destinataires externes (partenaires commerciaux, partenaires d’orientation, patients accédant à leurs propres dossiers) sont authentifiés avant que l’accès ne leur soit accordé. L’accès peut être révoqué a posteriori. La fonctionnalité SafeVIEW, en lecture seule, permet de partager des PHI à des fins de consultation sans qu’elles ne quittent l’environnement Kiteworks.
Concernant la journalisation d’audit : chaque événement d’accès, sur chaque canal Kiteworks, est consigné dans une piste d’audit unique, consolidée et immuable. Le journal capture qui a accédé à quoi, quand, depuis quel système, sous quelle autorisation, et quelle action a été effectuée — sur l’e-mail, le partage de fichiers, le MFT, le SFTP, les formulaires sécurisés et l’accès aux données par l’IA. La piste d’audit est intégrée aux SIEM et disponible dans des vues de reporting de conformité spécifiques à HIPAA. C’est cette infrastructure d’audit qui satisfait la norme Audit Controls de la Security Rule et qui permet de soutenir une investigation en cas de violation, défendable devant l’OCR.
Concernant la conformité des partenaires commerciaux : Kiteworks signe des Business Associate Agreements en tant que partenaire commercial et détient l’autorisation FedRAMP Moderate — une posture de sécurité évaluée de manière indépendante et surveillée en continu, qui fournit aux entités couvertes une base documentable pour leur devoir de diligence vis-à-vis des partenaires commerciaux, au-delà du simple BAA contractuel.
Pour les exigences HIPAA spécifiques à l’IA, y compris la manière dont les amendements 2025 de la Security Rule s’appliquent aux agents IA accédant à des ePHI, consultez AI Agents and HIPAA: Solving the PHI Access Challenge.
Pour découvrir comment Kiteworks s’applique à votre environnement de conformité HIPAA spécifique, planifiez une démonstration personnalisée.
Foire aux questions
La conformité HIPAA exige de satisfaire quatre règles. La Privacy Rule régit qui peut utiliser et divulguer des PHI, les droits des patients, et la norme Minimum Necessary encadrant la limitation de l’accès aux PHI. La Security Rule impose des mesures administratives, physiques et techniques pour les PHI électroniques — incluant l’analyse de risques, le contrôle d’accès, le chiffrement et la journalisation d’audit. La Breach Notification Rule impose aux entités couvertes de notifier les personnes concernées, le HHS et, dans certains cas, les médias, dans les 60 jours suivant la découverte d’une violation de PHI non sécurisées. L’Omnibus Rule a étendu l’intégralité des obligations de conformité et l’exposition aux sanctions aux partenaires commerciaux et à leurs sous-traitants. Les entités couvertes comme les partenaires commerciaux doivent satisfaire aux quatre règles.
Les amendements proposés en 2025 constituent la révision la plus importante de la Security Rule depuis sa publication initiale. Le changement central consiste à supprimer la distinction entre spécifications « required » et « addressable » — rendant obligatoires, pour toutes les entités couvertes et tous les partenaires commerciaux, le chiffrement des ePHI au repos et en transit, l’authentification multifacteur et la segmentation réseau, sans possibilité de justifier une alternative documentée. Ces amendements ajoutent également des exigences relatives aux inventaires annuels des actifs technologiques, à une documentation plus précise de l’analyse de risques, à des plans écrits de réponse aux incidents et de reprise après sinistre avec une capacité de restauration sous 72 heures, ainsi qu’à une supervision renforcée des partenaires commerciaux. En date de juillet 2026, ces amendements demeurent au stade de proposition, mais les organisations devraient déjà les considérer comme la norme de conformité en vigueur, compte tenu de la posture d’application de l’OCR.
Un Business Associate Agreement (BAA) est un contrat exigé par HIPAA entre une entité couverte et tout fournisseur ou tiers — un partenaire commercial — qui crée, reçoit, conserve ou transmet des PHI pour le compte de l’entité couverte. Le BAA doit préciser les utilisations autorisées des PHI, imposer au partenaire commercial la mise en œuvre de mesures de protection appropriées, exiger la notification des violations, et accorder à l’entité couverte des droits d’audit. Depuis l’Omnibus Rule de 2013, les partenaires commerciaux sont exposés aux mêmes sanctions que les entités couvertes pour les violations survenant dans leur environnement — le BAA ne transfère pas la responsabilité, il documente des obligations partagées. Un BAA dépourvu de contrôles techniques sous-jacents n’est qu’un document contractuel sans posture de sécurité réellement opérante.
Dans la version originale de la Security Rule, le chiffrement était classé comme une spécification de mise en œuvre « addressable » — ce qui signifie que les entités couvertes devaient le mettre en œuvre, sauf à pouvoir documenter une alternative raisonnable et appropriée. En pratique, le poids de la documentation exigée pour justifier l’absence de chiffrement des ePHI, combiné à la perte de la protection du safe harbor de notification des violations pour les PHI non chiffrées, a fait de l’absence de chiffrement un risque de conformité plutôt qu’une alternative légitime. Les amendements proposés en 2025 suppriment totalement cette ambiguïté en rendant obligatoire le chiffrement des ePHI au repos et en transit. Les actions coercitives de l’OCR ont systématiquement cité les défauts de chiffrement comme des violations de la Security Rule, indépendamment de la catégorie « addressable ». Le chiffrement validé FIPS 140-3 constitue la norme fédérale actuelle.
Le safe harbor de la Breach Notification Rule s’applique lorsque les PHI concernées par une violation étaient chiffrées au moment de l’incident et que les clés de chiffrement n’ont pas également été compromises. Selon les recommandations du HHS, les données chiffrées sont considérées comme « inutilisables, illisibles ou indéchiffrables » — et une violation de PHI correctement chiffrées ne déclenche pas les obligations de notification de HIPAA envers les personnes concernées, les médias ou le HHS. Ce safe harbor est l’une des raisons les plus déterminantes, sur le plan opérationnel, pour mettre en œuvre un chiffrement validé FIPS sur l’ensemble des canaux traitant des ePHI. Le fait que les clés de chiffrement appartiennent au client renforce les possibilités d’invoquer le safe harbor : même en cas de violation chez un fournisseur cloud, les PHI déchiffrables ne sont pas compromises, puisque le fournisseur n’a jamais possédé les clés nécessaires à leur déchiffrement.