Dropbox et HIPAA/HITECH

Mis à jour Nov 20, 2023

HIPAA/HITECH, qu'est-ce que c'est ?

Le terme HIPAA/HITECH désigne deux lois américaines relatives aux informations médicales : Health Insurance Portability and Accountability Act (1996) et Health Information Technology for Economic and Clinical Health Act (2009).

Ces lois visent à favoriser l'essor des technologies dans l'industrie de la santé, tout en mettant en place des barrières pour protéger et garantir la confidentialité des informations médicales. Différents établissements (hôpitaux, cabinets médicaux, cabinets dentaires, etc.) ainsi que les individus amenés à interagir avec des informations médicales protégées peuvent être soumis aux lois HIPAA/HITECH. L'application de ces lois peut aussi s'étendre aux entreprises qui travaillent avec ces établissements et qui accèdent à ces informations médicales protégées pour le compte de leurs partenaires.

Définition des principaux termes liés aux lois HIPAA/HITECH

Informations médicales protégées

Informations permettant d'identifier l'individu et qui sont liées :

  • à la santé physiologique ou psychologique présente, passée ou future de l'individu ;
  • aux services médicaux fournis à l'individu par le passé, actuellement ou dans le futur ;
  • aux frais médicaux réglés par l'individu, par le passé ou dans le futur.

Entité couverte

Une entité couverte est un régime d'assurance-santé, un centre d'échange de données médicales ou un prestataire de soins de santé. Ces catégories incluent les hôpitaux, les cliniques, les cabinets médicaux et les établissements qui créent, reçoivent ou transmettent des informations médicales protégées. Puisqu'elles accèdent aux données médicales protégées, les entités couvertes sont responsables de la confidentialité et de la sécurité de ces informations, conformément aux lois HIPAA/HITECH.

Partenaire

Un partenaire est une entité qui crée, reçoit, gère ou transmet des informations médicales protégées pour le compte d'une entité couverte, et qui est par conséquent également soumise aux lois HIPAA/HITECH.

Accord de partenariat (BAA, Business associate agreement)

Un accord de partenariat est une assurance contractuelle par laquelle le partenaire s'engage auprès de l'entité couverte à respecter les exigences de la loi HIPAA. Ce contrat doit être en vigueur avant le transfert d'informations médicales protégées entre l'entité couverte et le partenaire.

Dropbox possède-t-il une certification HIPAA/HITECH ?

Il n'existe pas de certification officielle HIPAA/HITECH. Pour vous aider à mieux comprendre comment nous respectons nos obligations vis-à-vis des lois HIPAA/HITECH, vous pouvez demander à obtenir un rapport d'assurance auprès d'un organisme tiers dans le but d'évaluer les contrôles que nous menons pour assurer la conformité avec les exigences des règles HIPAA/HITECH relatives à la sécurité, à la confidentialité et à la notification des violations. Vous pouvez également demander à obtenir un recensement de nos pratiques internes et des recommandations faites aux clients qui cherchent à répondre aux exigences des règles HIPAA/HITECH relatives à la sécurité et à la confidentialité avec Dropbox Business.

Comment utiliser Dropbox Business tout en respectant mes obligations dans le cadre des lois HIPAA/HITECH ?

Nous souhaitons vous permettre de comprendre facilement comment sécuriser votre compte et respecter vos obligations légales. In fine, il vous appartient de veiller au respect de vos obligations légales, mais nous avons rédigé un certain nombre de recommandations pour vous aider à sécuriser vos données et à protéger vos comptes.

Pour commencer, consultez notre guide de présentation de la loi HIPAA pour obtenir des conseils sur la configuration de votre compte en vue de sécuriser des données telles que les informations médicales protégées. Ce document-cadre offre différentes suggestions couvrant de nombreux sujets, dont les suivants :

  • Configuration des autorisations de partage
  • Désactivation des suppressions définitives
  • Surveillance de l'activité des comptes et de l'accès aux comptes
  • Rôle des applications tierces

Sur demande, nous pouvons mettre à votre disposition notre plan des pratiques internes et des recommandations à l'attention des clients désireux d'assurer leur conformité avec les exigences des règles HIPAA/HITECH relatives à la sécurité et à la confidentialité avec Dropbox Business.

Si vous faites partie de nos clients soumis aux lois HIPAA/HITECH, n'oubliez pas que vous devez mettre en place un accord de partenariat avant de commencer à transférer des informations médicales protégées dans votre compte Dropbox. Pour en savoir plus sur la souscription d'un abonnement Dropbox Business, contactez notre équipe commerciale. Si vous êtes actuellement administrateur d'une équipe Dropbox Business, vous pouvez signer un accord de partenariat électroniquement à partir de la page Compte de l'interface d'administration.

highlight icon

Remarques :

Comment mettre en place un accord de partenariat (BAA) avec Dropbox ?

Pour en savoir plus sur la souscription d’un abonnement Dropbox pour les entreprises, contactez notre équipe commerciale. Si vous êtes actuellement administrateur d’une équipe Dropbox pour les entreprises, vous pouvez signer un accord de partenariat électroniquement à partir de la page Compte de l’interface d’administration.

Les applications et intégrations tierces entrent-elles dans le cadre de mon accord de partenariat avec Dropbox ?

Pour profiter de fonctionnalités supplémentaires, vous pouvez puiser dans un vaste écosystème d’applications tierces pouvant être associées à votre compte Dropbox pour les entreprises. Les intégrations qui fournissent des services de gestion des événements et des informations de sécurité (SIEM), de protection contre la perte de données (DLP), de gestion des identités ou d’autres services similaires peuvent s’avérer très précieuses pour renforcer vos pratiques existantes en matière de sécurité.

Si ces applications et intégrations tierces peuvent compléter à merveille les fonctionnalités de votre compte, n'oubliez pas qu'elles ne font pas partie de notre offre. Par conséquent, elles ne sont pas couvertes par les conditions d'utilisation de Dropbox, ni par l'éventuel accord de partenariat conclu avec Dropbox. Il vous appartient d'évaluer ces applications afin de déterminer si leur utilisation est compatible avec vos obligations légales. N'oubliez pas que certaines applications sont associées à des comptes personnels, tandis que d'autres peuvent être associées à l'ensemble de votre équipe par un administrateur.

Cet article vous a-t-il été utile ?

Nous en sommes désolés.
Faites-nous part de vos suggestions d'amélioration.

Merci d'avoir donné votre avis !
En quoi cet article vous a-t-il été utile ?

Merci d'avoir donné votre avis !

Réponses de la communauté

Articles similaires

Dropbox et la FDA 21 CFR Part 11 : présentation

Dropbox fait appel à des auditeurs tiers indépendants pour tester ses systèmes. Découvrez comment Dropbox peut vous aider à vous conformer aux directives de la FDA 21 CFR Part 11.

Afficher l'article

Normes et réglementations auxquelles se conforment les forfaits Dropbox pour les entreprises et Dropbox Education

Afficher l'article

Quelles sont les conséquences de la directive PSD2 sur mon compte Dropbox ?

Découvrez dans quelle mesure Dropbox respecte la directive PSD2 et les conséquences que cela a sur votre compte.

Afficher l'article

Règlement général sur la protection des données (RGPD)

Le Règlement général sur la protection des données (RGPD) régit l’utilisation des données personnelles. En savoir plus sur la façon dont Dropbox se conforme au RGPD

Afficher l'article

Autres options pour obtenir de l'aide

Icône représentant deux personnes
Discussions
Icône représentant un oiseau
Twitter
Icône représentant une bulle de dialogue
Contacter l'assistance