Données médicales et solutions et services Adobe

[Dernière mise à jour : mars 2025]

Adobe étend son offre Healthcare Shield pour proposer des services « Health Data-Ready » permettant de gérer les données médicales susceptibles d’être régies par les lois et les règlementations sur la confidentialité médicale. La clientèle d’Adobe qui utilise ces solutions et services innovants peut désormais soumettre des catégories de données médicales supplémentaires en plus des données de santé protégées actuellement règlementées par la loi HIPAA de 1995.

Adobe vous invite à évaluer vos besoins pour choisir la solution la mieux adaptée à votre cas d’usage. Pour en savoir plus sur les services Adobe conformes à la loi HIPAA, consultez cette page ou demandez des informations complémentaires.

Utilisation des données médicales

L’extension de l’offre Healthcare Shield d’Adobe permet de soumettre des données médicales ne relevant pas nécessairement des données de santé protégées.

Adobe propose aux entreprises qui traitent des informations médicales sans appartenir au secteur de la santé des services de gestion de ces données. Dénommés « Health Data-Ready », ces services intègrent des fonctionnalités avancées permettant aux entreprises, y compris celles ne relevant pas des catégories « Covered Entities » et « Business Associates » définies dans la loi HIPAA, de se conformer aux règlementations appropriées en matière de confidentialité et de sécurité. Ces fonctionnalités supplémentaires peuvent entraîner une augmentation des frais de licence ou d’abonnement.

La création, la réception, l’actualisation et la transmission de données médicales via des applications et des services Adobe non « Health Data-Ready » sont interdites. En effet, de par leur conception, ces solutions ne permettent pas de garantir la conformité de l’entreprise cliente et d’Adobe aux règlementations sur les données médicales.

Actuellement, les services « Health Data-Ready » sont uniquement disponibles pour les entreprises basées aux États-Unis.

Voici la liste actuelle des solutions compatibles avec les services « Health Data-Ready » :

Adobe Customer Journey Analytics (CJA) ¹
Adobe Journey Optimizer (AJO) ²
Adobe Real-Time Customer Data Platform (RTCDP) B2P (Consumer Audiences) éditions Prime et Ultimate ³
Adobe Real-Time Customer Data Platform (RTCDP) B2C éditions Prime et Ultimate ³

Pour en savoir plus sur l’utilisation des solutions Adobe Experience Cloud dans les scénarios d’entreprise liés à la santé et au bien-être, consultez notre article technique Adobe Experience Cloud for Healthcare Solutions Overview, disponible dans le Centre de données Adobe.

¹ À l’exclusion de CJA Labs, qui n’est pas un service CJA conforme à la loi HIPAA ni « Health Data-Ready ». Pour plus d’informations, veuillez consulter cette page.
² À l’exclusion de l’outil Composition d’audiences fédérées, qui n’est pas un service AJO conforme à la loi HIPAA ni « Health Data-Ready ».
³ À l’exclusion des outils Transfert d’événement et Composition d’audiences fédérées, qui ne sont pas des services RTCDP conforme à la loi HIPAA ni « Health Data-Ready ».

Responsabilités partagées en matière de sécurité

Les services Adobe « Health Data-Ready » reposent sur un modèle de sécurité à responsabilités partagées. Ce modèle exige que la clientèle et Adobe assument chacun des responsabilités distinctes pour garantir la sécurité des données médicales. Dans ce cadre, Adobe compte sur la clientèle pour mettre en œuvre certaines configurations sous son contrôle, le but étant pour nous de se conformer aux exigences relatives aux données médicales. Nous fournissons également des recommandations de configuration pour aider la clientèle à satisfaire ses propres obligations de conformité lors de l’utilisation des services « Health Data-Ready ».

Sécurité à responsabilités partagées

Voici comment Adobe se conforme à certaines obligations applicables aux données médicales, ainsi que des recommandations pour aider la clientèle à se conformer aux exigences des services « Health Data-Ready ».

Normes

Mesures de protection techniques

Contrôle d’accès

Adobe a mis en place des règles, des procédures et des contrôles techniques pour attribuer des identifiants uniques à chaque utilisateur ou à chaque utilisatrice Adobe (afin notamment de prévenir la réutilisation des identifiants), pour limiter l’accès aux données médicales aux seules personnes habilitées, pour mettre fin à l’accès aux données médicales lorsque ledit accès n’est plus nécessaire, et pour permettre la communication de données médicales en cas d’urgence. Adobe fournit également à sa clientèle des outils pour contrôler l’accès aux données médicales.

Chiffrement et déchiffrement

Adobe assure le chiffrement des données médicales transmises sur les réseaux publics et au repos. Si une entreprise utilise les services « Health Data-Ready » pour transmettre ou stocker des données médicales sans chiffrement, elle doit motiver sa décision par écrit.

Contrôles d’audit

Adobe a mis en place des contrôles pour accéder à l’activité des utilisateurs et des utilisatrices de Real-Time Customer Data Platform et l’enregistrer.

Déconnexion automatique

Les systèmes Adobe sont configurés pour mettre fin, après une période prédéfinie, aux sessions inactives du personnel autorisé lorsque celui-ci consulte ou communique des données médicales.

Contrôles d’intégrité

Adobe a mis en place des mesures de sécurité techniques pour prévenir toute modification ou destruction inadéquate de données médicales. Pour en savoir plus à ce sujet, consultez le site www.adobe.com.

Normes

Mesures de protection administratives

Analyse et gestion des risques

Adobe a mis en place des mesures pour réduire les risques à un niveau raisonnable et approprié, notamment en effectuant sa propre analyse des risques et en mettant en œuvre un plan de gestion des risques concernant les données médicales traitées. Nous recommandons à notre clientèle d’effectuer ses propres analyses de risques en tenant compte de son utilisation des services « Health Data-Ready ». Utilisez les fonctionnalités de sécurité de ces services pour limiter les risques de sécurité à un niveau raisonnable et approprié.

Surveillance de l’activité des systèmes d’information

Adobe examine régulièrement les autorisations d’accès. Nous conseillons à notre clientèle de vérifier régulièrement l’accès de son personnel aux données médicales via les services « Health Data-Ready », au moyen des journaux d’audit de ces services.

Formation du personnel à la sécurité

Adobe a mis en place un programme pour former son personnel et le tenir informé des règles et des procédures de l’entreprise en matière de protection des données médicales. Ce programme prévoit des sanctions en cas de non-respect des règles et des procédures en question, ainsi que la révocation de l’accès des personnes concernées aux systèmes de stockage, de traitement ou de transmission de données médicales. Nous recommandons à notre clientèle de former son propre à l’utilisation des services « Health Data-Ready » afin de s’assurer que ces informations sensibles sont traitées de manière adéquate.

Plan de secours

Adobe a mis en œuvre un plan de secours, testé régulièrement, permettant de restaurer des données médicales en cas d’urgence, de catastrophe ou de panne. Nous conseillons à notre clientèle d’élaborer ses propres plans de secours, notamment afin de déterminer si les données médicales accessibles via les services « Health Data-Ready » doivent être mises à disposition en cas d’urgence.

Normes

Mesures de protection physiques

Contrôle et accès aux installations

Adobe contrôle l’accès physique aux sites sur lesquels des données médicales sont reçues, gérées ou transmises. Des règles et des procédures sont en place pour prévenir les accès non autorisés, les falsifications et les vols. Adobe recommande à sa clientèle de sécuriser l’accès physique aux locaux dans lesquels son personnel accède aux services « Health Data-Ready ».

Gestion des postes de travail et des appareils

Adobe a mis en place des règles et des normes applicables au personnel ayant besoin d’accéder aux données médicales. Ces règles portent notamment sur l’accès physique aux zones restreintes et aux postes de travail qui s’y trouvent. Elles prévoient également d’équiper les écrans de filtres de confidentialité. Adobe conseille à sa clientèle de renforcer la sécurité des postes de travail utilisés pour accéder aux services « Health Data-Ready ».

Gestion de l’inventaire du matériel et de l’infrastructure

Adobe maintient un inventaire exhaustif du matériel et de l’infrastructure utilisés pour manipuler les données médicales. Cet inventaire inclut les registres de maintenance et les déplacements de chaque élément.

Destruction

Adobe a mis en place des pratiques et des procédures pour effacer et purger de manière appropriée les données médicales, notamment en détruisant les équipements concernés avant leur transfert. Adobe recommande à sa clientèle d’identifier les appareils utilisés pour télécharger des données de ce type via les services « Health Data-Ready », et de veiller à ce qu’elles soient détruites de manière adéquate le moment venu.

Sauvegarde et restauration

Adobe a mis en place des mesures de sécurité techniques pour prévenir toute modification ou destruction inadéquate de données médicales. Nous conseillons à notre clientèle de déterminer l’étendue des sauvegardes nécessaires, et d’être en mesure de restaurer les informations de ce type gérées via les services « Health Data-Ready ».

Informations complémentaires

Pour en savoir plus sur la configuration des services conformes à la loi HIPAA, consultez la documentation produit disponible sur Experience League.

Contrat d’association commerciale d’Adobe pour les services conformes à la loi HIPAA

Si vous souhaitez conclure un contrat d’association commerciale avec Adobe pour des services conformes à la loi HIPAA, contactez l’équipe commerciale ou votre Customer Success Manager.

Clause de non-responsabilité

Ces informations visent à décrire comment Adobe, en tant que partenaire commercial, se conforme aux règles de sécurité HIPAA. Elles ne constituent pas un avis juridique et ne doivent pas être considérées comme tel. Chaque client ou chaque cliente est responsable de son utilisation des services Adobe conformes à la loi HIPAA, et doit s’assurer que lesdits services répondent à ses besoins de conformité.