La nouvelle réglementation en matière de sécurité des données de santé, telle que définie par la HIPAA, se dévoile dans un document de près de 500 pages. Si le texte purement réglementaire représente une fraction de cet ensemble, l’essentiel des modifications proposées mérite une attention particulière pour les professionnels du secteur.
La révision proposée par la HIPAA introduit des ajustements significatifs, notamment dans la sous-partie C, qui régit les normes de sécurité. Ces changements touchent d’abord aux définitions de termes clés, un effort de clarification qui vise à moderniser le cadre existant. Parmi les nouveautés, on note l’ajout de définitions pour des concepts tels que « Déployer », « Mettre en œuvre », « Authentification multifacteur », « Risque », « Contrôles techniques » et « Vulnérabilité ».
Certaines définitions existantes sont également précisées, sans pour autant altérer leur sens fondamental pour un lecteur raisonnablement averti. C’est le cas pour « Garanties administratives », « Système d’information », « Mot de passe », « Sauvegardes physiques », « Sécurité ou mesures de sécurité », « Incident de sécurité » et « Poste de travail ». L’interprétation de « raisonnablement instruit » est d’ailleurs explicitée : elle exclut les avocats et les experts réglementaires, jugés potentiellement surqualifiés pour apprécier les nuances textuelles.
Trois définitions subissent des modifications plus substantielles :
- Accéder : Le terme « composant d’un système d’information » est remplacé par « ressource système », élargissant potentiellement la portée des actions concernées (ajouter, supprimer, transmettre, remplacer).
- Logiciel malveillant : Désormais, le terme inclut le « firmware » et offre une description plus détaillée de l’intention ou de l’impact de ces logiciels.
- Sauvegardes techniques : Ces mesures sont clarifiées et désormais considérées comme un type spécifique de garantie.
Au niveau des normes de sécurité proprement dites, le § 164.306 voit ses règles générales légèrement révisées. La principale modification réside dans l’ajout du paragraphe (b)(2)(v), qui impose d’évaluer l’efficacité des mesures mises en place. Par ailleurs, le paragraphe (c) exige désormais à la fois des normes et des spécifications de mise en œuvre, tandis que le paragraphe (d) est supprimé, un changement qualifié de majeur.
La section relative aux garanties administratives (§ 164.308) présente une refonte quasi complète. Bien que l’on puisse présumer qu’elle intègre les exigences antérieures, elle semble élargir considérablement le champ des obligations.
Concernant les sauvegardes physiques (§ 164.310), le principe général demeure le même. Cependant, une exigence annuelle est ajoutée : les politiques et procédures doivent être examinées et testées au moins une fois par an. Cela s’applique également aux spécifications de mise en œuvre relatives à l’utilisation des postes de travail et des actifs technologiques.
Les sauvegardes techniques (§ 164.312) sont enrichies de nombreux nouveaux éléments qui nécessiteront une analyse plus approfondie.
Les exigences organisationnelles (§ 164.314) restent globalement inchangées, à l’exception notable d’une nouvelle obligation : lorsqu’une organisation active son plan d’urgence, elle doit informer toute entité avec laquelle elle a conclu un accord de partenariat commercial (BAA) dans un délai de 24 heures.
Le § 164.316, consacré aux exigences de documentation, conserve sa structure générale mais est restructuré. La nécessité de maintenir la documentation à jour est renforcée, avec une fréquence minimale d’une fois par an.
La section relative à la transition (§ 164.318), qui traitait auparavant des délais de conformité, voit son texte devenir plus complexe dans la proposition actuelle. Elle aborde désormais les renouvellements existants et la conformité présumée basée sur les contrats actuels, un point qui nécessitera l’avis d’experts juridiques pour une compréhension précise.
Enfin, le paragraphe sur la divisibilité (§ 164.320) introduit une clause stipulant que toute disposition jugée invalide ou inapplicable sera interprétée pour maximiser son effet. Si nécessaire, elle pourra être traitée séparément afin de ne pas invalider les autres exigences.
Cette première lecture met en lumière des changements importants, notamment dans les définitions et les exigences relatives aux garanties techniques et administratives. Une analyse plus poussée, particulièrement sur les sections 308 et 312, est nécessaire pour appréhender pleinement l’étendue de ces nouvelles dispositions.